2010/03/11

userinit.exe被刪除前的徵兆…(惡意、蠕蟲程式,預先處理winxp反覆登入登出的動作)

引用原文…協作平台
文章「圖片」有不能顯示時,請點協作平台…感謝…



上回收到了一次維正 張的lnk惡意程式,這次他老兄又來了一封rar的檔案…
而且還附上密碼668…真感恩耶…(昏)

標題寫的很聳動,我倒覺得還好,因為我信箱三不五時就收到一堆有的沒的信件,什麼哥哥不要啦…妹妹什麼的…
這回來的看來肯定又是騙人…好吧…就給你騙騙…大不了ghost回去…

不過以下實作是已有ghost過(不怕一萬,只怕萬一)避免有漏網之魚跑出去…影響後來之電腦運作,故不是很瞭解系統者就別嘗試了…
後果可不負責哦…


看下圖吧!
附檔是「美麗.rar」密碼是668…而gmail無法協助掃毒…
看看avast是否能掃到?


3月7日收到這封信,下載後avast竟然沒叫,於是就興沖沖的解壓,點下去後也沒做好準備,便出現了…

哦…nevys.exe要直接存取hd…

ok允許存取…於是在c:\windows\system32裡出現了這個傢伙…


又是一個不知內容摘要,莫名的檔案出現了…


這是開啟電腦一啟動時的檔案,立刻發現nevys.exe在裡面了…
不二話…立刻就給他刪掉…

nevys.exe也給他刪掉,沒想到,重開後就不斷的登入登出…
我的userinit.exe被刪掉了…唉…沒想到給他上當了說…(排謝,那天不知道在想什麼…)


後來ghost回去,我還原系統…

3月10日再重覆一下之前的動作…
還沒執行「美麗.exe」之前windows裡的東西…計有130個項目…


而c:\windows\system32目錄下…計有2271個項目。


執行過後…產生一個,不過檔案大小是「0k」?


怪…再試一次…(cgobk真怪名字,英文沒這字)


還是一樣…(英文也查不到這字)


再試第三次…



成功了…檔案大小「93.3k」,MD5 (D:\MD\備份區\temp\美麗\zzenc.exe-vir) = 2FF13E566A6E8F031C0514DA7F1B3026



接著去看啟動部份…
果然料中了…,躲在裡面…


而windows下的項目多一個pif…是不是「美麗.exe」所產生的?不是很清楚…
產生時間與實作時間差不多,但裡面是空的…


system32裡多了二個「0k」的檔案,和一個「zzenc.exe」共三個檔,於是變成2274個項目(原為2271)!


啟動項目裡,看到沒,最後一排!

嗯…還要重新啟動才能用?我用手動的方式好了…看看這個zzenc.exe要蛋麻?


想控制explorer?嗯…允許啦…八成是要透由網路取得檔案肥來…

害我在netlimiter那裡等了好一陣子,防火牆也沒動作反應,封包也沒在跑…
嗯…可能在等我「螢幕保護」時作動吧?





丫…懶的管了…我看看的登錄
(啟動userinit.exe)裡被寫了什麼東?
哇咧!又來了,難怪每次在「啟動」裡刪掉時,userinit.exe連同被刪掉,造成無法「登入」的情形…



機碼改回原來的「C:\WINDOWS\system32\userinit.exe,」後沒多久又被改回來…



直搗黃「蟲」…結果這傢伙被explorer給鎖住了…
用unlocker解開後,登錄碼還是被鎖(無法改回),哇咧!真是愈來愈有趣了…



後面在程序裡發現了這個東…
原因是「用戶名稱」?沒有,怪怪的…先中止說…看來不是system的,應該不怎麼重要…

不過一般正常來說都是如此(都會有),而我解除被寫入登錄檔時是停止該項程式,可能已遭命令修改執行了吧?
忘了當時去看哪個傢伙去鎖regedit.exe檔了…(如有高手或錯誤處請留言,感謝!)



哦…好玩囉!…接下一個動作喲!




嗯…ok了…也解掉登錄檔被鎖的情形…


嗯…解掉了…

家族集合…



再玩一次…
這次一次就出現了…名稱看來是亂取的…大小內容都跟zzenc一樣…



啟動一定有,刪掉…



刪掉後登入碼就…


但過不久還是再度出現…
再次結束那個svchost那個檔(上面有圖)cmd的指令shutdown -a先傳好…



終止explorer、svchost後,再次去修正regedit的userinit.exe部份…
如此一來就可以解決中木馬及無法登入的問題了…

下午把檔案e給avast參考…



讚哦…隔天就被列為蠕蟲了…




                                                                                                        by necos

2 則留言:

  1. 周董,你現在是越來越厲害了,一直在進步,我完全看不懂。近來可好?

    回覆刪除
  2. 學長,好久不見…最近很OK丫…不過很少看到學長上網和非死不可說…至於越來越厲害了,倒是不敢,頂多是學習學習而已,那也得感謝朋友及同學們提供一堆中毒和有毛病的電腦,給學弟有學習的機會丫…呵…

    回覆刪除