前晚上网,多了个internat进程,起初没怎么管,到后来越来越慢,CUP100%…
郁闷之极,一天之内装了4次系统,弄到最后把所有的东西都格式化。
这个病毒了得,要感染EXE文件,由于事先不知道,导致了第2次重装。。。杀毒软件根本就不管用
下边是搜到得一些有关资料: QQ密码侦探。。还好我改密码了,要不然就
QQ密码侦探1.1版木马程序会伪装成internat.exe进程
[屏蔽]原理:将[屏蔽]程序伪装成windows的启动文件internat.exe,将原system目录内的同名文件拷入 windows目录,将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
发送的邮箱、密码个数等信息放在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation\Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceObjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中
启动:随系统启动,驻留后台运行
外在表现:windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe长度为196K,同时出现smaxinte.exe文件,长度大约37K。
对策:删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的[屏蔽]程序正在运行,所以无法直接删除,可用下列方式进行删除:
1、用内存管理程序移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxinte.exe改名为internat.exe
2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE,将 smaxinte.exe改名为internat.exe了解注册表的再删除
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3个相关键
综述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程序
病毒 internat.exe _.de setup.exe autorun.inf 解决方案
档案编号:CISRT2007029
病毒名称:Worm.Win32.Delf.bg(Kaspersky)
病毒别名:Worm.MYGOD.a.30001(毒霸)
Worm.Delf.dy(瑞星)
病毒大小:18,432 字节(30,001 字节)
加壳方式:PE_Patch.U[屏蔽] U[屏蔽]
样本MD5:c773bd861b2c32d88da59cc3f6c4a604(00ea5b91a6166c096a1d7e5816183eab)
样本SHA1:58c26dd583e3c70f5fde5d7892bedd9684d705b5(5ec2b00e7cec6edc34e6b2747b732fe02aa16954)
发现时间:2007.2
更新时间:2007.2.7
关联病毒:
传播方式:恶意网页、其它病毒下载,感染exe文件,可通过移动存储设备(U盘等)传播
技术分析
==========
病毒运行后释放自身副本到系统system目录:
%Windows%\system\internat.exe
并运行,加开关参数/sleepdown。
使用批处理{原文件名}.bat删除自身原文件,{原文件名}.bat内容:
[Copy to clipboard]
CODE:
:try
del "exe"
if exist "exe" goto try
del %0
向各分区目录复制副本,创建autorun.inf:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
病毒感染分系统分区下的所有exe文件,使用dir命令收集非系统分区下的所有exe文件列表:
[Copy to clipboard]
CODE:
dir *.exe /s /b >%Windows%\win.log
被感染文件运行后释放病毒体(大小30001字节)到C盘根目录并运行:
C:\_.de
%Windows%\system\internat.exe开关参数/update,尝试访问网络下载其它病毒或恶意程序,保存到以下位置并运行:
%Windows%\system\SYSTEM32.vxd(加密文件列表)
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
病毒内发现有如下信息:
[Copy to clipboard]
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............
清除步骤
==========
1. 结束病毒进程:
%Windows%\system\internat.exe
2. 删除病毒文件:
%Windows%\system\internat.exe
3. 通过文件夹树形结构目录进入分区根目录,删除病毒文件:
X:\setup.exe
X:\autorun.inf
4. 删除C盘根目录下的病毒文件(可能存在):
C:\_.de
5. 删除病毒下载的其它病毒或恶意程序(可能存在):
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件
太恼火了,郁闷啊,只有把全部得格勒,可怜我得那些软件啊 又得重新下。。。
