转载的::
1222.exe病毒样本rxmoefa.exe 是在各个分区下的病毒安装文件。
运行rxmoefa.exe
创建进程wqdlitd.exe和shulbhs.exe
注册表run下加入wqdlitd和shulbhs两个启动项
修改checkvalue=0使隐藏文件不能显示
添加Image File Execution Options项如下(映象劫持)添加见附1。
除c盘外每个盘下写入autorun.inf和rxmoefa.exe
system32下释放文件dld.dat(内容为
http://www.5460w.cn/xzz/0603.exe,稍后你会看到wqdlitd.exe从这个网址下载罪恶的0603.exe)meex.com wqdlitd.exe和shulbhs.exe
该病毒没有发现添加服务、驱动也没有插入dll线程
1222.exe病毒清除办法及1222.exe专杀下载解决方法:
终止两个进程(两个线程相互保护,需要icesword禁用线程创建然后结束掉),使用sreng或运行注册表
删除wqdlitd和shulbhs两个启动项,在注册表中将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL]下checkvalut改为1,使其显示隐藏文件(我在iceword下查看文件的,这一步纯粹为了修复系
统),将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\]下的[Image File
Execution Options]这个项全部删除(删后杀毒软件就可以用了)
system32下删除dld.dat meex.com wqdlitd.exe和shulbhs.exe
删除各个盘下autorun.inf和rxmoefa.exe
总结:分析完觉得没什么,我在太平洋上写过一个7个字母随机文件名的病毒,它们是一摸一样的东西。链接如下,那时是5月27号。
http://softbbs.pconline.com.cn/topic.jsp?tid=7154371以上为该病毒运行后无其它多于操作的症状,网络为开启状态。
就在我以为自己算是重复做了同样事情的时候,病毒出现了新行为: wqdlitd.exe 突然试图调用system32下0603.exe(这个文件突然出现的,刚运行病毒的时候并没有0603.exe这个文件,事实上 wqdlitd.exe 每隔一段时间会下载并运行它,该文件没有隐藏),之后explorer会调用C:\Documents and Settings\xulong\Local Settings\Temp\0222.exe
0222.exe会在C:\Program Files\Common Files\Microsoft Shared\MSInfo 注入SysWFGQQ2.dll,并在注册表添加启动项
explorer继续调用调用C:\Documents and Settings\xulong\Local Settings\Temp\1222.exe
1222.exe修改如下程序内存C:\WINDOWS\system32\smss.exe csrss.exe winlogon.exe services.exe
lsass.exe svchost.exe spoolsv.exe explorer.exe shulbhs.exe ctfmo.exe wqdlitd.exe 之后你会发现,它修改的是所有在运行程序的内存(目的不详)。
加载C:\WINDOWS\system32\drivers\CelInDriver.sys(我原来以为1222.exe会修改运行程序使其保护病毒
,不过后来感觉我多虑了,病毒折腾完后,杀起来一样)
这个病毒是专门盗取qq的小木马,做的比较干净,真正盗号的文件都是联网后病毒进程下载的,算是比较独特。杀除方法同上,只需要多删除一个C:\Program Files\Common Files\Microsoft Shared\MSInfo 启动项 剩下的病毒文件自己删掉也行,最好把杀软升级到最新,用它杀。 C:\WINDOWS\system32\drivers\CelInDriver.sys这个文件不会自启动,删不删都行。
以下为真正盗号文件的路径,截图时路径没显示完整,失误