史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-09-17, 05:02 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - _desktop.ini的清理

_desktop.ini的清理

嚴重警示:請認真看方法,本人因只會簡單的dos命令,批命令沒做容錯設置,未按方法做或做錯的可能會有丟失資料的風險,請慎重

病毒特性:
「威金蠕蟲變種CP(Worm.Viking.cp)」病毒:警惕程度★★★☆,蠕蟲病毒,通過感染文件、局域網共享等方式傳播,依賴系統:WIN9X/NT/2000/XP。

該病毒執行後會自動釋放名為「rundl132.exe」、「viDll.dll」的文件,並試圖感染Windows可執行文件。同時在被感染過的目錄裡留下名為「_desktop.ini」的文件,記錄感染日期。該病毒會查找局域網中的所有共享電腦,嘗試猜解它們的密碼,並進行感染。威金蠕蟲變種CP會自動在後台下載並執行「征途木馬」、「江湖木馬」以及「傳奇木馬」等,竊取這些網路遊戲玩家的賬號和密碼並發送給黑客。

同時,該病毒會下載一個名為「劉麻子QQ消息發送機(Trojan.QQMSG.Liumazi)」的病毒,該病毒會自動向用戶的QQ好友發送內容為「麻煩幫我朋友投個票啦!她正在競選QQ小姐,參選Q-Zone空間上有她近照,點擊為她增加人氣,先謝謝嘍……http//q-zone.qq.c0m.%30%??????2E%6F%72%67/cgi-bin/Photo=No.947564」等的消息,其它用戶點擊消息中的網址就會被病毒感染。同時該病毒會將用戶的IE瀏覽器主頁鎖定為「http//u4.s??99.cn」。

Win32.Looked.S是一種通過網路共享感染文件的蠕蟲。它是大小為27,075字節,以Upack格式壓縮的Win32可執行程式。它產生一個23,040字節的DLL文件,用來下載並執行二進制執行程式。


感染方式:
執行時,Win32.Looked.S使用以下文件名複製到%Windows%目錄:
rundl132.exe
Logo1_.exe

註:%Windows%是一個可變路徑。病毒通過查詢操作系統來決定當前Windows資料夾的位置。Windows2000/NT中預定的安裝路徑是C:\Winnt,windows95/98/me中預定的安裝路徑是C:\Windows,windowsXP中預定的安裝路徑是C:\Windows。
它還會修改註冊表,為了在每次系統啟動時執行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"

隨後,蠕蟲在當前目錄產生一個DLL文件"vDll.dll"。它會注入Explorer程式,並被用來下載和在Explorer程式中啟動程式。

蠕蟲還會產生"SemaphoreMe",以確保每次只有一個副本執行。


傳播方式 :
通過感染文件傳播
Looked.S在硬碟的z:/ 到 c:/ 驅動器循環搜索。它從本機根目錄開始,感染延伸名為.exe的文件。蠕蟲預謀自己到目標文件,並將文件大小增長到27,075字節。蠕蟲不感染超過10,485,760字節的文件,或者帶有以下名稱的子資料夾中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone

蠕蟲還會在每個經過的目錄中產生一個名為"_desktop.ini"的文件。這個文件包含系統日期,是無害的txt文件。


通過網路共享傳播
蠕蟲嘗試通過IPC$ 和 admin$共享進行傳播,使用'administrator'用戶名和空口令。它還會嘗試很多自帶的用戶名和密碼,包括一個空用戶名和口令。

蠕蟲通過發送包括"Hello,World"資料的ICMP訊息包到本機C類位址段目標IP位址來探測潛在目標。


危害
下載並執行任意文件
蠕蟲從"17dk.com"域下載很多文本和二進制文件。它還會嘗試下載2個文本文件和2個執行文件。二進制執行文件下載到%Windows%目錄,並隨後執行。


停止工作行程
Looked.S會停止以下執行的工作行程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe


停止服務
如果以下服務在系統上執行,蠕蟲將停止這個服務:
Kingsoft AntiVirus Service


關閉視窗
Looked.S搜索帶有"Ravmon.exe"標題的視窗,類別名為"RavMonClass"。如果找到,蠕蟲就會關閉這個視窗。

清除:
KILL安全胄甲InoculateIT v23.72.52;Vet 12.6.2279 版本可檢測/清除此病毒。




金山毒霸反病毒檢測中心預警消息:一個名為「維金(Worm.Viking.m)」的病毒正在侵害用戶的系統。截至到下午三時,已經有至少3000位以上的用戶電腦受到該病毒的破壞,尋求金山反病毒專家幫助的電話絡繹不絕,相信這一數位還將會繼續上升。
病毒被啟動後,釋放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll

新增以下啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"

感染所有分區下大小27KB-10MB的可執行文件(但不感染系統資料夾和programe files資料夾下的文件),並在被感染的資料夾中產生_desktop.ini。文件如果發現這個東西的話,恭喜恭喜,估計十有八九已遭遇不幸了,並且感染後會造成一些網友說的「EXE文件圖示花了」

通過不安全的共享網路傳播,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\IPC$、\admin$等共享目錄,連接成功後進行網路感染。

結束一些國內的反病毒軟件工作行程,如毒霸,瑞星,木馬客星等。

vdll.dll注入Explorer或者Iexplore工作行程,當外網可用時,下載其他木馬程式(如前段時間比較BT的紅底黑色龍頭圖案的WINLOGON)。

將拿到的幾個樣本文件看了下,其中rundl132.exe為病毒文件,VThunder為感染後的文件,Thunder為原文件。

該病毒是一種執行在Windows平台下,整合「可執行文件感染」、「網路感染」、「下載網路木馬或其它病毒」的複合型病毒,具有極強的破壞性。該病毒主要通過共享目錄、弱密攻擊、感染系統文件、做為郵件的附件等方式進行傳播。

病毒執行後將自身偽裝成系統正常文件,通過修改用戶系統註冊表項使病毒開機時即刻自動執行;同時,該病毒利用「線程注入技術」繞過網路防火牆的監視,連接到病毒作者指定的網站,下載特定的木馬或其它病毒。感染該病毒後,病毒會從Z盤開始向前搜索所有可用分區中的.exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢,會在被感染的資料夾中產生一個處於隱藏狀態的系統文件:_desktop.ini,如果您的系統中發現此文件,表明您的系統可能已感染此病毒。

據金山毒霸反病毒專家介紹,從最近病毒的破壞特性來看,這種破壞系統文件的病毒基本很少,相對病毒產生的速度,可謂是百年不遇。

金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2006年6月2日的病毒庫即可查殺該病毒;如未安裝金山毒霸,可以登入 <db.kingsoft.com免費下載最新版金山毒霸2006/> db.kingsoft.com免費下載最新版金山毒霸2006或使用金山毒霸線上業務清除該病毒。

金山反病毒專家提醒用戶,對於電腦病毒的防範,一定要養成良好的電腦使用習慣,及時下載微軟漏洞修正檔,並及時升級殺毒軟件,在上網時一定要開啟殺毒軟件的實時監控功能,以免受到病毒攻擊。

批量刪除_desktop.ini的命令

  這幾天來,中了不少病毒,重裝系統兩次,留下了無數個屍體,_desktop.ini文件,網上查到說是一種叫歡樂時光的病毒,現在使用DOS命令批量刪除_desktop.ini,如下:

  del d:\_desktop.ini /f/s/q/a

  強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除

  /f 強制刪除只讀文件

  /q 指定靜音狀態。不提示您確認刪除。

  /s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。

  /a的意思是按照內容來刪除了

  這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的



該病毒為Windows平台下整合可執行文件感染、網路感染、下載網路木馬或其它病毒的複合型病毒,病毒執行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動執行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒執行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標電腦。
執行過程過感染用戶機器上的可執行文件,造成用戶機器執行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、執行被感染病毒的程式、可帶病毒的郵件附件等方式進行傳播。

1、病毒執行後將自身複製到Windows資料夾下,文件名為:
  %SystemRoot%\rundl132.exe

2、執行被感染的文件後,病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe

3、同時病毒會在病毒資料夾下產生:
病毒目錄\vdll.dll

4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的資料夾中產生:
_desktop.ini (文件內容:系統、隱藏。)

5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通過新增如下註冊表項實現病毒開機自動執行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒執行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後發送消息關閉該程式。

8、枚舉以下殺毒軟件工作行程名,查找到後停止其工作行程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同時病毒嘗試利用以下命令停止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"


10、發送ICMP探測資料"Hello,World",判斷網路狀態,網路可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。

11、感染用戶機器上的exe文件,但不感染以下資料夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚舉系統工作行程,嘗試將病毒dll(vdll.dll)選擇性注入以下工作行程名對應的工作行程:
Explorer
Iexplore
找到符合條件的工作行程後隨機注入以上兩個工作行程中的其中一個。

13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並執行相關程式:
http://www.17**.com/gua/zt.txt 儲存為:c:\1.txt
http://www.17**.com/gua/wow.txt 儲存為:c:\1.txt
http://www.17**.com/gua/mx.txt 儲存為:c:\1.txt

http://www.17**.com/gua/zt.exe 儲存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 儲存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 儲存為:%SystemRoot%\2Sy.exe
註:三個程式都為木馬程式

14、病毒會將下載後的"1.txt"的內容新增到以下相關註冊表項:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"



解決方法:
1.安全模式啟動
2.顯示隱藏文件和延伸名,在位址欄中顯示全路徑
3.清除快取記憶體,可以執行附件裡的腳本,但注意腳本文件一定要拷貝到和當前系統在一個磁碟代號的分區上執行,不可隨意執行,並且管理員沒有改過名(腳本執行時有時會因文件不存在而有短暫的停頓,但一會還會繼續)
4.手動清除除Administrator,All Users,Default User以外其他帳戶下的快取記憶體文件
5.註冊表裡刪除多餘啟動項
6.註冊表裡搜索rundl132.exe和logo1_.exe,並將其刪除
7.用瑞星註冊表修復工具修復文件關聯
8.用瑞星維金專殺修復受感染的exe文件
9.更改管理員的口令
10.執行惡意軟件清理助手
11.用黃山IE修復一下
12.最後用殺毒軟件對全盤進行慢速掃瞄
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:43 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1