SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库。当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了。  

     特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! 

[b]二:以下是分析和手动清除方法:

     昨天下午加班回来,发现本本的行为相当诡异。看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑。然后看了看注册表,加了启动项:SysLoad3.exe,在Windows系统目录下面。唉,我是不用杀毒软件的,一般中了木马都是随便杀杀就完了,然而这个木马很讨厌,明显影响使用。木马程序做的这么土,也太匪夷所思了。用户都知道有干扰了,还怎么木马啊!不知道作者怎么想的~~

    既然这么讨厌,那就干死他!不罗嗦,IDA伺候。我分析的是1.0.6版,程序逻辑比较简单,看看他都干啥了~~
    1. 一开始是在注册表中创建一个启动项: System Boot Check,调整到Debug权限,然后创建一个iexplore.exe的进程和一个Notepad.exe的进程。

    2.自然是要把代码注入到远程进程去啦~~,作者注入的方式比较简单。设计的时候就把自己的加载地址改了,没用0x400000,而是用了一个很不常见的地址(0x13150000),估计是用notepad和iexplore都测试过,可以确认该地址不会被占用。然后根据PE的信息取出需要的空间大小(0x7000),从iexplore和notepad里分配该空间,最后把整个程序都copy过去,地址修正这些就全都免了。最后当然是木马最爱的函数CreateRemoteThread拉~~

    3.嗯,干完活以后,sysload3.exe就没事干了。接下来就是iexplore和notepad大显身手~。

    4.首先是iexplore干活,这个时候notepad也有一个重要的任务。它要检查看自己是本体还是被感染体。如果是被感染体,则需要把感染前的程序放出来干活,这样才不至于被用户发现。然后线程就等通知(Named Event: MySignal)。这个时候iexplore在干吗呢?接着看。

    5.Iexplore(名字真长,后面叫IE好了~)先创建一个命名Mutex:MyDownload,告诉后面来的兄弟:有我在,你们都休息吧~。然后创建MySignal Event,置为无信号状态。接下来正式开始干活:IE的任务就是把病毒文件最新的配置信息取下来,根据新的配置信息更新本地的病毒版本。先是从http://a.2007ip.com/css.css下载配置文件,保存在本地的名字就叫config.ini。
    配置文件的格式及注释如下:

Code:
[config]
    Version=1.0.6
    NUM=7  ;这里指出下面有多少个任务(最多20个),每个任务都是把文件取下来,存在本地的名字就是同名的exe
    1=/Article/UploadFiles/200704/20070402104202734.gif
    2=/Article/UploadFiles/200704/20070402104203328.gif
    3=/Article/UploadFiles/200704/20070402104203803.gif
    4=/Article/UploadFiles/200704/20070402104203144.gif
    5=/Article/UploadFiles/200704/20070402104204500.gif
    6=/Article/UploadFiles/200704/20070402104204618.gif
    7=/Article/UploadFiles/200704/20070402104205415.gif
    UpdateMe=http://a.2007ip.com/5949645046.exe ;更新sysload3.exe本身
    tongji=http://if.iloveck.com/test/tongji.htm        ;唉,统计,作者就觉得这东西这么NB?还要统计一下。。。。
    hos=/Article/UploadFiles/200704/20070402104206386.gif  ;

这里非常出彩!作者苦心收集了一大堆流氓网站的名字,给我们种木马的时候,顺便给我
 们把这些网站也给屏蔽了。全都记录在hosts文件里面,都解析成本地!虽然不清楚作者的本意是为了打击竞争对手(其他木马,嘿嘿~)或者是真的为人民服务,无论如何,赞作者~~!!虽然木马杀了,这个功能我还是会继续使用的,估计作者还会更新~哈哈~~

    好,任务都完成了以后,IE同学休息休息~~

    6.Nopepad粉墨登场。
      这个坏家伙一上来就不干好事儿~,从Z盘到A盘挨个来,一个不落的去感染其他文件,包括EXE,ASP,ASPX,HTM,HTML,PHP,嗯,好像就这些。这是这个木马非常让我厌恶的地方。
       A.其EXE的感染的过程如下(大家不要看了去干坏事!):
       首先,依然是遍历所有文件。找到一个EXE后,检查它的最后4个字节是不是0x12345678。如果是,那么这个就是兄弟,下一位。
       找到一个没给感染的后干吗呢?自然就是感染他拉~~哈哈哈~~~。注意看哦,这里很关键:把sysload3.exe复制一份,叫做tempicon.exe,为啥是icon呢?不着急,马上就能看到原因了。tempicon有了以后,把目标程序的图标资源取出来,插入到tempicon里面去,这样的话,tempicon看起来就长得跟目标一样咯~。下一步呢,就是要把目标程序保存下来,于是就有了tempload.exe,这个文件就是把tempicon复制一份,然后把目标程序紧接着放在后面。最后加入8个自己的识别信息,前四个字节指出木马本身的长度,后四个字节就是前面说的0x12345678;
      B.web相关的文件的处理大同小异,临时文件是temphtml~,中间插入一个流氓javascript文件: 

      
      感染完整个硬盘后,就没50秒扫描一次又没有U盘,软盘之类的驱动器挂上。挂上了就在根目录下生成一个Autorun.inf,复制一份SysLoad3.exe过去,比较简单。

      哦,好像检查了系统目录所在的分区没有去遍历。

      嗯,打完收工!

       基本流程就是这样了~。要恢复的话,只要写个小程序,遍历一下硬盘里的exe,根据文件尾的标示(倒数第8-4个字节指出Sysload_Stub的长度,根据最后4个字节是否0x12345678判断是否是染毒文件)就可以恢复鸟~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之类的库,用IceSword从Explorer进程里卸载掉,然后就可以删掉啦~!

      总的来看,木马加入一个配置文件这个思路挺好的~新开发一个木马,就让他们去下载~呵呵。然而多次看到作者在使用CreatFile的时候,判断返回值总是用0,诡异~难道不是INVALID_HANDLE_VALUE???应该可以排除作者不知道的可能性,在FindFirstFile的用法里,作者就是用得INVALID_HANDLE_VALUE比较的。我书读得少,谁知道的话请一定留言告诉我,谢谢~~。

      分析过程挺麻烦的,唉~还好作者送上木马不忘附赠一个joke:I will by one BMW this year!如果作者靠这个能by到BMW,那这样一来我们的心情是不是可以愉悦很多哈~~嘿嘿~~
专杀工具

时间: 2024-09-19 09:55:00

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀的相关文章

inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法_病毒查杀

木马Trojan-PSW.Win32.Magania.cjy inst.exe,Setup.exe Backdoor/Agent.apnf  病毒名称: Trojan-PSW.Win32.Magania.cjy 病毒类型: 木马 江民杀毒 10.00.650  Backdoor/Agent.apnf 1.395 NOD32 2.70.10  a variant of Win32/PSW.OnLineGames.NFF trojan 4.185 该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

AutoRun.wp(gg.exe)U盘木马清除方法_病毒查杀

文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

木马程序Trojan-Spy.Win32.Agent.cfu清除方法_病毒查杀

木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

关于rundl132.exe vidll.dll LOGO1.exe 的清除方法_病毒查杀

最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex