2007-03-09 00:20

病毒名称：卡巴：Email.Worm.Win32.Warezov.q   金山：Worm. Warezov.q.151251 病毒大小：151,251 字节 传播方式：email传播 加壳方式：MEW 11 1.2 编写语言：Microsoft Visual C++ 7.0 指纹效验： SHA-160     : E75296A98BCCDC2E403B08CFC6AA9D3A7EAFC1A8 MD5         : C46DE6C5C7F7365A0655E5289120F23F RIPEMD-160  : 41C77E4CADD95281154D4713118A150ADD8EBFCB CRC-32      : C8CCB52E 测试平台：VM+win2000PROSP4 病毒行为： 病毒运行后在同目录下生成11.tmp文件（文件名随机），释放tsrv.exe、tsrv.dll到%systemroot%下，释放msji449c14b7.dll到%systemroot%system32\下，通过修改注册表在初始化完毕驱动后winlogon.exe前加载病毒程序msji449c14b7.dll进行自身rootkit，然后将自身插入随后启动的进程中；添加注册表启动项启动病毒程序，病毒建立tsrv.exe进程后启动tsrv.dll来进行进程隐藏实现rootkit，并且将线程tsrv.dll插入到每一个后于病毒启动的程序中。修改host文件对众多杀软网站进行屏蔽，倒是没有挂马，哈哈。 注册表修改键值： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <tsrv><C:\WINNT\tsrv.exe s>  [N/A]（新建，杀毒需删除） [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs>< msji449c14b7.dll>  [N/A]（修改，杀毒只需要将键值设为空） 病毒屏蔽的杀软网站： download.microsoft.com go.microsoft.com msdn.microsoft.com office.microsoft.com windowsupdate.microsoft.com http://www.microsoft.com/downloads/Search.aspx?displaylang=en avp.ru www.avp.ru http://avp.ru http://www.avp.ru kaspersky.ru www.kaspersky.ru http://kaspersky.ru kaspersky.com www.kaspersky.com http://kaspersky.com kaspersky-labs.com www.kaspersky-labs.com http://kaspersky-labs.com avp.ru/download/ www.avp.ru/download/ http://www.avp.ru/download/ http://www.kaspersky.ru/updates/ http://www.kaspersky-labs.com/updates/ http://kaspersky.ru/updates/ http://kaspersky-labs.com/updates/ downloads1.kaspersky-labs.com downloads2.kaspersky-labs.com downloads3.kaspersky-labs.com downloads4.kaspersky-labs.com downloads5.kaspersky-labs.com http://downloads1.kaspersky-labs.com http://downloads2.kaspersky-labs.com http://downloads3.kaspersky-labs.com http://downloads4.kaspersky-labs.com http://downloads5.kaspersky-labs.com downloads1.kaspersky-labs.com/products/ downloads2.kaspersky-labs.com/products/ downloads3.kaspersky-labs.com/products/ downloads4.kaspersky-labs.com/products/ downloads5.kaspersky-labs.com/products/ http://downloads1.kaspersky-labs.com/products/ http://downloads2.kaspersky-labs.com/products/ http://downloads3.kaspersky-labs.com/products/ http://downloads4.kaspersky-labs.com/products/ http://downloads5.kaspersky-labs.com/products/ downloads1.kaspersky-labs.com/updates/ downloads2.kaspersky-labs.com/updates/ downloads3.kaspersky-labs.com/updates/ downloads4.kaspersky-labs.com/updates/ downloads5.kaspersky-labs.com/updates/ http://downloads1.kaspersky-labs.com/updates/ http://downloads2.kaspersky-labs.com/updates/ http://downloads3.kaspersky-labs.com/updates/ http://downloads4.kaspersky-labs.com/updates/ http://downloads5.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com ftp://downloads2.kaspersky-labs.com ftp://downloads3.kaspersky-labs.com ftp://downloads4.kaspersky-labs.com ftp://downloads5.kaspersky-labs.com ftp://downloads1.kaspersky-labs.com/products/ ftp://downloads2.kaspersky-labs.com/products/ ftp://downloads3.kaspersky-labs.com/products/ ftp://downloads4.kaspersky-labs.com/products/ ftp://downloads5.kaspersky-labs.com/products/ ftp://downloads1.kaspersky-labs.com/updates/ ftp://downloads2.kaspersky-labs.com/updates/ ftp://downloads3.kaspersky-labs.com/updates/ ftp://downloads4.kaspersky-labs.com/updates/ ftp://downloads5.kaspersky-labs.com/updates/ http://updates.kaspersky-labs.com/updates/ http://updates1.kaspersky-labs.com/updates/ http://updates2.kaspersky-labs.com/updates/ http://updates3.kaspersky-labs.com/updates/ http://updates4.kaspersky-labs.com/updates/ ftp://updates.kaspersky-labs.com/updates/ ftp://updates1.kaspersky-labs.com/updates/ ftp://updates2.kaspersky-labs.com/updates/ ftp://updates3.kaspersky-labs.com/updates/ ftp://updates4.kaspersky-labs.com/updates/ viruslist.com www.viruslist.com http://viruslist.com viruslist.ru www.viruslist.ru http://viruslist.ru ftp://ftp.kasperskylab.ru/updates/ symantec.com www.symantec.com http://symantec.com customer.symantec.com http://customer.symantec.com liveupdate.symantec.com http://liveupdate.symantec.com liveupdate.symantecliveupdate.com http://liveupdate.symantecliveupdate.com securityresponse.symantec.com http://securityresponse.symantec.com service1.symantec.com http://service1.symantec.com symantec.com/updates http://symantec.com/updates updates.symantec.com http://updates.symantec.com eset.com/ www.eset.com/ http://www.eset.com/ eset.com/products/index.php www.eset.com/products/index.php http://www.eset.com/products/index.php eset.com/download/index.php www.eset.com/download/index.php http://www.eset.com/download/index.php eset.com/joomla/ www.eset.com/joomla/ http://www.eset.com/joomla/ u3.eset.com/ http://u3.eset.com/ u4.eset.com/ http://u4.eset.com/ www.symantec.com/updates 清除方法： 推荐使用SC对病毒的两个线程进行全局模块卸载，在卸载前一定要选中“禁止外部线程创建”，一次可能无法卸载干净，要对所有进程都进行查看，强制删除无效，最后将病毒进程tsrv.exe删除到回收站。清理注册表启动项。 原创文章：转载请注明文章作者：孤单每一天 文章地址：http://hi.baidu.com/renlangliu/blog/item/686451a7598b3195d143589d.html (PS:没有ＳＣ的ＰＭ偶一下或跟帖……偶ｅｍａｉｌ给你，或者到偶嘀网盘里面找） http://renlangliu.5upan.com/

图片见博客

[ 本帖最后由 南亚颗粒 于 2007-3-9 00:51 编辑 ]

恩 又发了 哈 ……………… 鼓励鼓励 继续努力啊！

单是屏蔽这些杀毒网站就够呛~~~~

文件还要密码，不知到密码是多少

楼主的分析方法可以发帖子详细讲一下~~