绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys

caobihole

浏览: 948453 次

最近访客更多访客>>

u012363178

jerry_shen

fish119

educationAAAA

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1423)

社区版块

存档分类

2013-09 ( 92)
2013-08 ( 32)
2013-07 ( 23)
更多存档...

绕过IceSword文件检测的Trojan-Downloader.Win32.Hmir.hw/Trojan.Win32.Mnless.zpc/ojj6erv.sys

endurer 原创
2007-11-27 第1版

一位网友说他前两天浏览一个文学网站时中毒，现在电脑每天都能用杀毒软件扫描出一些网游盗号木马、QQ盗号木马等病毒。现在开机出现提示框，提示找不到文件f5bk37q187.dll。IE首页被改为 hxxp://***.k*zd**h.com/?g。让偶帮忙检查。

下载 pe_xscan 扫描 log，由于刚刚用杀毒软件进行了系统扫描，所以在 log 中只发现一些启动项：

/---
pe_xscan 07-11-25 by Purple Endurer
2007-11-27 12:23:32
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O23 - 服务: 0jj6erv (0jj6erv) - System32/DRIVERS/0jj6erv.sys(引导)
O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导)
O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/pcidisk.sys(手动)
O23 - 服务: Tcpip (TCP/IP Protocol Driver) - system32/DRIVERS/tcpip.sys | Microsoft? Windows? Operating System | 5.1.2600.2892 | TCP/IP Protocol Driver | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2892 (xpsp.060420-0256) | Microsoft Corporation| ? | tcpip.sys | tcpip.sys(系统)
---/

用winRAR检查文件，发现O23 - 服务: Tcpip (TCP/IP Protocol Driver)中 tcpip.sys这个文件的最后修改日期是2007-11-23号，在c:/windows/system32/drivers 发现了文件 TCPIP.SYS.ORIGINAL，经比较：

C:/WINDOWS/system32/drivers>fc tcpip.sys TCPIP.SYS.ORIGINAL
正在比较文件 TCPIP.SYS 和 TCPIP.SYS.ORIGINAL
00000130: 92 F6
00000131: EC EB
0004F7C6: 00 64
0004F7C7: 01 00

发现两个文件不一样。

可惜 http://purpleendurer.ys168.com 不知什么原因打不开，未能下载 FileInfo 提取文件信息。
把 tcpip.sys 打包备份，然后用网友电脑中原来存有的 IceSword 1.12 英文版强删除，Windows系统提示文件保护时取消，然后把 TCPIP.SYS.ORIGINAL 改名为 tcpip.sys。

在用瑞星卡卡安全助手删除前3个 O23 项时，发现第1个删了又重生。但用 IceSword 1.12 没有在c:/windows/system32/drivers发现文件 0jj6erv.sys，不过在 Kernel Module 列表中发现了 0jj6erv.sys……

下载了 IceSword 1.22 中文版，还是看不到磁盘上的文件，也无法删除其服务启动项，禁用也不行。

可惜bat_do 无法下载，没法删除。

重启电脑到安全模式，换了一个用户登录，再次启动IceSword 1.22 中文版，终于在c:/windows/system32/drivers 看到了 0jj6erv.sys，先复制了一个打包备份，然后强制删除。

重启电脑，再用瑞星卡卡安全助手删除O23 - 服务: 0jj6erv (0jj6erv)，搞定。
开机也不再提示找不到文件 f5bk37q187.dll了。

由于 0jj6erv.sys 作驱动程序被windows加载后会隐藏自身在磁盘上的文件，所以进入桌面后，杀毒软件也无法扫描出来，看来对付这类病毒，得用开机扫描才行了。

文件说明符 : D:/test/ojj6erv.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 13:10:8
修改时间 : 2007-11-27 13:10:26
访问时间 : 2007-11-27 13:10:35
大小 : 23104 字节 22.576 KB
MD5 : a2bad1749c3cf2c7d7190b7f140a9619
SHA1: 6C382CA9F73F7E0CEE5F342C5CC4ED0F82C094A8
CRC32: 1579b0b3

Kaspersky 已检测到: 木马程序 Trojan-Downloader.Win32.Hmir.hw文件: D:/test/ojj6erv.sys.rar/ojj6erv.sys

瑞星报为 Trojan.Win32.Mnless.zpc

分享到：

11-30>pe_xscan 改进了O15、O14 和 O18 ... | 11-26>pe_xscan 改进 O10-Winsock LSP(Lay ...

2007-11-27 13:32
浏览 587
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论