世界网址·海外网站
Aotu简介
凹凸实验室 始建于2015年,是一个年轻基情的技术社区组织。O2面向多终端技术体系,致力于构建沉淀与分享包括但不限于交互、页面制作技巧、前端开发、原生APP开发等方面的专业知识及案例。
一.行为概述 该EXE是病下载器,它会:
1.参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名。
2.在每一个驱动器下放置auto病autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。
3.在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。
4.修改系统键值,将系统隐藏文件选项删除,造成用户无法查看隐藏起来的病文件。
5.修改系统注册表,将自己注册为服务开机启动。
6.搜索注册表启动项里是否有“360”字符串键值,有了删除,并用ntsd 关闭程序,搜索窗口是否含有“杀软件”,有了模拟操作关闭。判断进程里是否有卡巴斯基的文件avp.exe, 有则修改系统时间,使得卡巴失效。
7.通过网站文件列表下载其它病。
8.删除该病以前版本遗留的注册表信息。
9.“随机名.dll” 会远程注入系统进程中的所有进程
1.参考C 盘卷序列号的数值算出8 位随机的服务名,exe 和dll 的文件名。(还记得AV终结者吗?最开始出来就是随机8位数文件名的EXE)
2.搜索当前文件名是不是auto.exe,若是调用explorer.exe ShellExecuteA 打开驱动器。
3.对抗杀软件:
1)搜索注册表启动项里是否有“360”字符串键值,有则删除,使得360以后都无法自动启动。并紧接着关闭已启动的360程序。
2)检查当前进程中有没有卡巴斯基的进程AVP.EXE ,有的话修改系统时间,令依赖系统时间进行激活和升级的卡巴失效。
3)病还会试图关闭杀软件它查找霸的监视提示窗口"KAVStart" ,找到后通过PostMessageA 发送CLOSE 消息,然后用FindWindowExA 搜索"杀软件" 通过SendMessageA 发送关闭消息,以及模拟用户,发送点击鼠标按键消息关闭。不过,经测试以上方法都不能关闭绝大部分杀软件。
4.比较当前文件运行路径是不是在系统SYSTEM32 下的随机名,不是则复制自身副本到系统SYSTEM32 。
5.将DLL注入系统进程,运行之后释放det.bat 删除自身
6.病文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己,实现隐蔽运行。
7.查找启动项里是否有包含360 的字符串,有了删除,并用SeDebugPrivilege 提升权限和ntsd 关闭程序,搜索窗口是否含有“杀软件”,有了模拟操作关闭。
8.篡改注册表中关于文件夹显示状态的相关数据,将系统隐藏文件选项删除。
9.病查找老版本的自己留下的注册表信息,将其删除,便于进行升级。
10.从病作者指定的地址33.xi***id*8/soft/update.txt 下载病列表,根据列表信息去下载其它病,每次下载一个,运行后删除,再接着下载。
在它下载的病文件中,有木马自己的升级文件和某国际知名品牌的网络语音通讯软件,另外还包含17个针对不同知名网游的盗号木马,而在这些木马中,有一些其本身也具备下载功能。如果它们成功进入电脑,将引发无法估计的更大破坏。
11.除在本机上进行盗号,病还将自己的AUTO病文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含磁盘,病就会立即运行,搜索包含U盘等移动存储器在内的全部磁盘,如果发现有哪个磁盘尚未中,就立刻将其感染,扩大自己的传染范围。
1.由于病DLL 文件远程注入包括系统进程在内的所有进程,采取直接删除的办法是无法彻底清楚的,必须删除DLL,同时删除服务,重起,在进行扫尾删除,由于该病换算需要大量时间,在刚开机时不能马上释放DLL 进行注入,此时也是清除的较佳时机。
2.建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE,添加到文件粉碎器的删除列表,将这些文件一次性彻底删除。重启后,再修复残留的注册表加载项。
下载地址:bbs.duba/attachment.php?aid=16127097
提示:请及时升级杀软件!!
病特点
该病通过给 QQ 好友发送“陈冠希原版相片.rar”来进行传播,自身通过镜项劫持安全软件和在驱动
器下建立 autorun.inf 来自启动,并下载 40 多种病木马。结束安全软件进程,并修改系统时间。修
改注册表破坏安全模式登录,影响显示隐藏文件。
1.创建自动运行文件,在各磁盘根目录会发现explorer.pif 和autorun.inf文件
2.尝试关闭以下安全软件的进程
Safe.exe; 360tray.exe;vstskmgr.exe;runiep.exe;RAS.exe;updaterui.exe;TBMon.exe;
KASARP.exe;scan32.exe;vpc32.exe;VPTRAY.exe;antiarp.exe;kregex.exe; KvXP.kxp;
kvsrvxp.kxp;kvsrvxp.exe;kvwsc.exe;iparmor.exe;AST.EXE
3.向QQ聊天窗口发送陈冠希原版相片.rar的病文件,该压缩包充分利用了社会工程学原理进行,
双击就会中招。
4.修改系统时间为2002年
5.尝试停止安全软件的服务
6.将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe",并将属性改为系统隐藏。
7.通过***/下载大量盗号木马
8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"
的 CheckedValue项改为 0(默认为1),破坏显示隐藏的系统文件
9.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\safeboot\Minimal \,来破坏安全模
式,导致无法启动系统到安全模式来杀。
10.映像劫持以下安全软件为
"C:\WINDOWS\system32\wuauc1t.exe",使得运行以下软件时,实际执行的是病程序。360rpt.EXE;
360safe.EXE;360tray.EXE;AVP.EXE;AvMonitor.EXE;CCenter.exe;IceSword.EXE; Iparmor.EXE;
kvmonxp.kxp;KVSrvXP.EXE;KVWSC.EXE;navapsvc.exe;nod32kui.exe; KRegEx.EXE;
FrameworkService.exe;mmsk.exe;wuauclt.exe;Ast.EXE; WOPTILITIES.EXE;Regedit.EXE;
AutoRunKiller.exe;VPC32.exe;VPTRAY.exe; ANTIARP.exe;KASARP.exe;QQDOCTOR.EXE
1.使用进程管理器关闭 IEXPLORE.EXE、wuauc1t.exe、explorer.pif进程。
2.将金山清理专家主程序KASMAIN.EXE重命名,再执行。然后修复镜项劫持、安全模式、和隐藏文件选
项
3.删除以下文件:
%windir%\system32\wuauc1t.exe
%TempPath%\ 陈冠希 原 版 相片 .rar
c:\sys.pif
c:\1~40.pif
%windir%\system32\syurl.dll
4.如果不可以打开IE搜索杀软件和任何关于系统的字眼,可通过QICQ等渠道或许直接下载360安全卫士下载地址。然后连续安装多个360安全卫士。一直到出现杀完成请重新启动计算机。本人尝试多次。可行!AOTURUN不可直接结束360安装前扫描。
各驱动器下的explorer.pif和 autorun.inf
Aotu是生活服务人才招聘行业领先的网站,Aotu于2020年2月被世界网址收录于目录下,网站创办者是:Aotu,Aotu网站网址是:https://aotu.io,世界网址综合分析Aotu网站的价值和可信度、百度搜索排名、Alexa世界排名、百度权重等基础信息,为您能准确评估Aotu网站价值做参考!
官方信息
-
-
- 微博
-
- YouTube
-
- 微博
-
