简要分析解决Ghost.pif病毒
病毒特点:
1.通过U盘传播
2.木马下载器
File: Ghost.pif
Size: 19527 bytes
MD5: 32C89902E912757B30C648C2AFAB2E3A
SHA1: 6318FCE89503D4DE19337E2E1D6EDA6C15EA3268
CRC32: 49BA1E56
运行后
生成
C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
注册表操作
删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
增加HKLM\SOFTWARE\Classes\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32\: "C:\Program Files\Internet Explorer\romdrivers.dll"
HKLM\SOFTWARE\Classes\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\: ""
HKLM\SOFTWARE\Classes\CLSID\{0CB68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32\: "C:\Program Files\Internet Explorer\romdrivers.dll"
HKLM\SOFTWARE\Classes\CLSID\{0CB68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{0CB68AD9-FF66-3E63-636B-B693E62F6236}\: ""
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-3E63-636B-B693E62F6236}: ""
指向C:\Program Files\Internet Explorer\romdrivers.dll
使用Explorer进程 连接网络 下载木马
http://XXa.us/oKK/TestOKK.exe
http://XXa.us/oKK/smss.exe
http://XXa.us/Sign/csrss.exe
http://XXa.us/Sign/svchost32.exe
http://XXa.us/Sign/smss.exe
http://XXa.us/Sign/services.exe
http://XXa.us/Sign/svchost.exe
http://XXa.us/Sign/conime.exe
http://XXa.us/Sign/ctfmon.exe
http://XXa.us/Sign/mmc.exe
http://XXa.us/Sign/IEXPLORE.EXE
http://XXa.us/Sign/stpgldk.exe
http://XXa.us/Sign/srogm.exe
http://XXa.us/Sign/spglsdr.exe
http://XXa.us/Sign/copypfh.exe
到临时文件夹
各个木马分别在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下面添加自己的启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wosa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fysa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wlsa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wgsa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qjsa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdsa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tlsa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dasa: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso.exe"
创建HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer
分别在其下面增加值
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\7y7: "v1.9"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\Me: "1.28"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\1: "2.92"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\2: "2.92"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\3: "2.96"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\4: "2.8"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\5: "2.8"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\6: "2.91"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\7: "2.91"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\8: "2.8"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\9: "2.95"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\10: "1.93"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\11: "1.96"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\12: "1.86"
HKU\S-1-5-21-1085031214-1078145449-839522115-500\Software\SetVer\ver\13: "1.6"
后面ver对应的值为各个木马的版本 以便木马更新对照更新使用
清除方法:
安全模式下
1.使用冰刃 删除以下文件(可到/down/下载)
C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
2.sreng删除类似(可到/down/下载)
<wosa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe> []
<fysa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe> []
<wlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe> []
<qjsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe> []
<wdsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe> []
<tlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe> []
<dasa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\daso.exe> []的启动项目
3.清空临时文件夹
最新相关文章- ·认识映象劫持技术原理与解决办法
- ·大水牛下载者分析及手工清除办法
- ·计算机病毒中毒症状、预防和系统恢复
- ·mdm.exe专杀以及处理方法
- ·手工清除病毒mdm.exe和RavMon.exe
- ·mdm.exe病毒的解决方法
- ·不再草木皆兵 三招对付捆绑木马!
- ·如何清除Taskmgr.exe病毒
- ·taskmgr.exe进程CPU占用率高的原因
- ·taskmgr.exe系统进程及相关病毒介绍
- ·QQ“缘”病毒taskmgr.exe狂占CPU内存
- ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
- ·巧治Vista下U盘自动运行病毒方法
- ·计算机病毒的说明、预防和恢复
- ·病毒反抗杀毒软件主要手段
- ·经典九招 防止自动播放引来病毒
发表评论- 彻底清除Infostealer.Gampass病毒
- appinit_dlls病毒清除办法
- wuauclt.exe病毒解决方案
- 最新ctfmon.exe病毒的查杀解决方法
- igm.exe病毒木马清除办法
- 最新清除w32.looked.bk病毒的查杀解决方法
- 如何解决Hacktool.Rootkit病毒的删除方法
- 手动清除最近横行的熊猫烧香病毒
- Hack.Exploit.JS.Agent.o病毒解决方案
- 清除ati2evxx.exe木马病毒
- U盘病毒Windows.scr(Win32.Downloader.b)分析及
- rundl132.exe 9sy.exe 8Sy.exe logo1_exe 解决方
- 2分钟搞定autorun.inf和ghost.pif病毒!
- WINLOGON.EXE病毒彻底清除方案
- trojan.exploit.131病毒查杀清除及专杀工具
- 病毒营销:类AV终结者病毒设计感染统计功能
- 瑞星发布MSN性感相册病毒手工清除方法
- U盘病毒Windows.scr(Win32.Downloader.b)分析及
- 磁碟机病毒为实例 解说中毒现象和清除思路
- 网络病毒破坏电脑硬件的七大损招
- 出现ARP欺骗攻击时的现象
- 木马病毒采用“Rootkit”实现“视觉隐藏”
- 木马的所有隐藏启动方式解密
- userinit.exe异常的全面解决方案及userinit.exe修
- system volume information病毒的删除方法
- 揭密:关于病毒命名规则的说明
- asgwmne.exe病毒清除方法
- 详细分析系统进程 手工搞定可疑病毒
- desktop.ini病毒专杀,维金专杀
- 病毒清除技巧 ati2evxx.exe 的清除方法