2010/03/11

LNK惡意程式?

引用原文…協作平台

文章「圖片」有不能顯示時,請點協作平台…感謝…


前一陣子,至同學家同學把他用好一陣子的電腦交給我,說什麼執行很慢…
當然,這是一個很好的學習機會,看看到底是搞了什麼東西進電腦裡?


這時,一定用我「防寫」的usb隨身碟,來使用常用的工具,以免到時usb隨身碟遭到波及…
開始用最常用的工具「程序檢視器」,這東西簡單又好用,又可以開關及移除一些啟動時的最佳工具…


哇咧,這是什麼東西?名稱是標「expiorer」(瀏覽器為explorer)但是出現的是筆記本的圖像…
內部名稱和描述都正確,但看起來還是有點給他怪怪的…



下圖為正確的…



再查查其他的程式…
svchost.exe執行的「路徑」都跑到不知道去哪了…怪怪…竟在「c:\windows\system」裡,當時被發現時還是隱藏起來,真是…
而且,在左下角紅框(排謝,被輸入法擋住了),也沒標名版本及公司…看來是「無名」版的…

問題是,中了這些東西連卡車司機都沒發現?一查,原來過期了…
後面把這些樣本弄到我電腦裡,avast一直狂叫,按到我的都手酸了…





這個「acovcnt」是啥?連個版本資訊都沒有…是「偷渡客」嗎?
先暫時解除使用,並到他的目錄裡面把這個執行檔(exe)改成exe-vir(可疑檔案)先!




這個應該也是什麼「假工具列」的惡意程式…(一
所以奉勸各位,不要亂安裝來路不明的「工具列」程式,以免引狼入室丫…

googledesktopqqplugin<-這是啥米東西?怪…





一般而言左下角和版本資訊都會出現一些基本資料,但少數是沒有的,而也不是「惡意程式」(這比較少見)…



各位老大看看,偶寫的程式(黑桃二)也是有版本資訊來的喲!



檔案總管裡,點工具,點資料夾選項,把「隱藏保護作業系統檔案」並「顯示所有檔案和資料夾」…
確定後,再重覆一次,看看是否又勾回來?

當然,不出所以料,又勾回來了,基本的「kavo」型態…
不過出動了kavo殺毒(白金版)沒多久就跳回來了,看來變種的情形愈來愈多了…

喂…同學,你的電腦「中很大」咧…


趁著還沒不見時,把下列圈起來的檔案統統改名去…

這時,用dos模式會快一些…



對了,有些惡意程式很糟…他會拿其他程式來替代userinit.exe(沒它會一直登入再登出,無法正常登入)或者當惡意程式遭到刪除,他也就一併被刪掉…
這方面到時再遇到時再做補述…(嗯,還是有哪位大哥能夠更進一步說明的?煩請指導)

當幫我同學病毒及惡意程式統統集合完時…忘了看下圖的userinit.exe還在不在…
(個人的資料、照片是都整理出來了,是有重灌的準備)

結果,下次開機就在那裡登入登出進不去了…:p,搞到最後真的只能重灌…昏…



記起了同學重灌的教訓…

又再次遇到同樣的狀況,哈…這次並沒有忘記看看userinit.exe有沒有拿掉…

果然被偷走了…趕緊補上userinit.exe…



這是正常的…(版不對不知道是否可用?不過應該會有問題吧?我是沒試sp3和sp2是否可通,沒那麼多美國時間…)



哦,對了!在執行裡打msconfig裡的「啟動」好像沒法看到userinit.exe的資訊哦!


那些中毒的檔案我也沒算共多少支…一共壓縮成二個檔…
其中一個小檔解開沒多久…avast就狂叫…


avast真的算蠻強的…不過上網還是要注意丫…

「疫苗再強,打了還是有人會感冒」!切記!



狂叫…又是按到手酸…


捉到假的svchost.exe,少了個版本資訊…


下圖這位是真的…



小型的犯人集中營…
天丫,bat(批次檔)可以寫到一百多k是寫些啥丫?



檔名明明是批次檔…但是卻無法在dos下執行的東西?而且應該是可以看的懂的文字吧?怪…





該說的都說了,來路不明的程式少用…
不明的網頁別亂點,以免電腦生病中毒丫…


如有錯誤,煩請指教!

感謝耐心觀看


工具:程序檢視器

userinit.exe被刪除前的徵兆…(惡意、蠕蟲程式,預先處理winxp反覆登入登出的動作)

引用原文…協作平台
文章「圖片」有不能顯示時,請點協作平台…感謝…



上回收到了一次維正 張的lnk惡意程式,這次他老兄又來了一封rar的檔案…
而且還附上密碼668…真感恩耶…(昏)

標題寫的很聳動,我倒覺得還好,因為我信箱三不五時就收到一堆有的沒的信件,什麼哥哥不要啦…妹妹什麼的…
這回來的看來肯定又是騙人…好吧…就給你騙騙…大不了ghost回去…

不過以下實作是已有ghost過(不怕一萬,只怕萬一)避免有漏網之魚跑出去…影響後來之電腦運作,故不是很瞭解系統者就別嘗試了…
後果可不負責哦…


看下圖吧!
附檔是「美麗.rar」密碼是668…而gmail無法協助掃毒…
看看avast是否能掃到?


3月7日收到這封信,下載後avast竟然沒叫,於是就興沖沖的解壓,點下去後也沒做好準備,便出現了…

哦…nevys.exe要直接存取hd…

ok允許存取…於是在c:\windows\system32裡出現了這個傢伙…


又是一個不知內容摘要,莫名的檔案出現了…


這是開啟電腦一啟動時的檔案,立刻發現nevys.exe在裡面了…
不二話…立刻就給他刪掉…

nevys.exe也給他刪掉,沒想到,重開後就不斷的登入登出…
我的userinit.exe被刪掉了…唉…沒想到給他上當了說…(排謝,那天不知道在想什麼…)


後來ghost回去,我還原系統…

3月10日再重覆一下之前的動作…
還沒執行「美麗.exe」之前windows裡的東西…計有130個項目…


而c:\windows\system32目錄下…計有2271個項目。


執行過後…產生一個,不過檔案大小是「0k」?


怪…再試一次…(cgobk真怪名字,英文沒這字)


還是一樣…(英文也查不到這字)


再試第三次…



成功了…檔案大小「93.3k」,MD5 (D:\MD\備份區\temp\美麗\zzenc.exe-vir) = 2FF13E566A6E8F031C0514DA7F1B3026



接著去看啟動部份…
果然料中了…,躲在裡面…


而windows下的項目多一個pif…是不是「美麗.exe」所產生的?不是很清楚…
產生時間與實作時間差不多,但裡面是空的…


system32裡多了二個「0k」的檔案,和一個「zzenc.exe」共三個檔,於是變成2274個項目(原為2271)!


啟動項目裡,看到沒,最後一排!

嗯…還要重新啟動才能用?我用手動的方式好了…看看這個zzenc.exe要蛋麻?


想控制explorer?嗯…允許啦…八成是要透由網路取得檔案肥來…

害我在netlimiter那裡等了好一陣子,防火牆也沒動作反應,封包也沒在跑…
嗯…可能在等我「螢幕保護」時作動吧?





丫…懶的管了…我看看的登錄
(啟動userinit.exe)裡被寫了什麼東?
哇咧!又來了,難怪每次在「啟動」裡刪掉時,userinit.exe連同被刪掉,造成無法「登入」的情形…



機碼改回原來的「C:\WINDOWS\system32\userinit.exe,」後沒多久又被改回來…



直搗黃「蟲」…結果這傢伙被explorer給鎖住了…
用unlocker解開後,登錄碼還是被鎖(無法改回),哇咧!真是愈來愈有趣了…



後面在程序裡發現了這個東…
原因是「用戶名稱」?沒有,怪怪的…先中止說…看來不是system的,應該不怎麼重要…

不過一般正常來說都是如此(都會有),而我解除被寫入登錄檔時是停止該項程式,可能已遭命令修改執行了吧?
忘了當時去看哪個傢伙去鎖regedit.exe檔了…(如有高手或錯誤處請留言,感謝!)



哦…好玩囉!…接下一個動作喲!




嗯…ok了…也解掉登錄檔被鎖的情形…


嗯…解掉了…

家族集合…



再玩一次…
這次一次就出現了…名稱看來是亂取的…大小內容都跟zzenc一樣…



啟動一定有,刪掉…



刪掉後登入碼就…


但過不久還是再度出現…
再次結束那個svchost那個檔(上面有圖)cmd的指令shutdown -a先傳好…



終止explorer、svchost後,再次去修正regedit的userinit.exe部份…
如此一來就可以解決中木馬及無法登入的問題了…

下午把檔案e給avast參考…



讚哦…隔天就被列為蠕蟲了…




                                                                                                        by necos