U盘病毒Hide.exe（兼答*man.dll,*pri.dll等木马群的清除）

File: Hide.exe

Size: 24501 bytes

File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

MD5: F7E7A6F787B1790BC60A02D4B3F33F7E

SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C

CRC32: 4470B037

 

生成如下文件：

%system32%\wnipsvr.exe

 

同时注册服务Visual       WEB

启动类型：自动

显示名称：NetworSVSA

服务描述：允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。

达到开机启动的目的

 

在每个分区下面生成一个Hide.exe和autorun.inf

达到通过移动存储传播的目的

 

后台调用使用cmd调用wnipsvr.exe的down参数下载木马

 

读取[url]http://xz.[/url]*.info/ad.txt的下载配置文件下载木马

[url]http://xz.[/url]*.info/1.exe~[url]http://xz.[/url]*.info/19.exe

到%program files%下面分别命名为pro1.exe~pro19.exe

 

下载的木马主要盗取以下几种网络游戏的帐号（包括但不限于）

奇迹世界 

QQ华夏 

天龙八部

大话西游II 

机战ZeroOnline公测版 

魔域 

问道 

完美世界 

风云－雄霸天下

QQ

 

以上木马均能关闭自动更新和Windows防火墙

并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

 

下面建立相关键值达到开机启动目的

 

 

木马植入成功后，生成如下文件：

%system32%\*ini.dll

%system32%\*ins.exe

%system32%\*pri.dll

%system32%\*man.dll

%system32%\*set.exe

(括号内的*一般为随机3个字母)

 

%SystemRoot%/DbgHlp32.exe

%SystemRoot%/system32\DbgHlp32.dll

%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp

%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys

%system32%\sers.exe（建立一个服务）

 

本例中对应的sreng日志如下

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>       []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

         <AppInit_DLLs><wggpri.dll>       []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

         <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>       []

         <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>       []

         <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>       []

         <{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll>       []

         <{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll>       []

         <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>       []

         <{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll>       []

         <{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll>       []

         <{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll>       []

         <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>       []

         <{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll>       []

         <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll>       []

         <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet

 

Explorer\PLUGINS\WinSys64.Sys>       []

服务

[NetworSVSA / Visual       WEB][Stopped/Auto Start]

       <C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>

[Telephonyl / Windowsve][Stopped/Auto Start]

       <C:\WINDOWS\system32\sers.exe><N/A>

 

 

 

清除办法：

 

 

1.清除病毒主程序

打开sreng （[url]http://download.kztechs.com/files/sreng2.zip[/url]）

 

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

NetworSVSA / Visual       WEB

 

2.清除*pri.dll,*man.dll等盗号木马

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

打开%system32%文件夹（默认C:\Windows\system32）

单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll

更多高级选项 钩选 搜索隐藏的文件和文件夹

右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律

 

 

打开sreng 启动选项 查看

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

一栏

记住*man.dll的那些名字

比如本例中的mxbman.dll，ztaman.dll

然后还是搜索这些文件 然后把他们重命名

 

 

3.打开sreng

启动项目       注册表 删除如下项目

<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>       []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

         <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet

 

Explorer\PLUGINS\WinSys64.Sys>       []

 

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Telephonyl / Windowsve

 

 

4.重启计算机

 

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击       菜单栏下方的 文件夹按钮（搜索右边的按钮）

从左边的资源管理器 进入系统所在磁盘（默认C盘）

删除如下文件

hide.exe

autorun.inf

%system32%\*ini.dll

%system32%\*ins.exe

(括号内的*一般为随机3个字母)

%SystemRoot%/DbgHlp32.exe

%SystemRoot%/system32\DbgHlp32.dll

%SystemRoot%/system32\sers.exe

%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp

%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys

%system32%\wnipsvr.exe

以及你重命名的那些

%system32%\*pri.dll

%system32%\*man.dll

 

从左边的资源管理器 进入其他磁盘

删除hide.exe

autorun.inf

 

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

 

Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是

 

C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

 

%SystemRoot%/        WINDODWS所在目录

 

%ProgramFiles%\       系统程序默认安装目录

 

 

 

 

作者：清新阳光 

( [url]http://hi.baidu.com/newcenturysun[/url])