endurer 原创2007-01-03 第1版
一位网友的电脑在查杀病毒后,启动时进入桌面前有出错提示音。让偶通过QQ远程协助检修。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,未见异常。
用pe_xscan扫描,发现可疑服务项:/----pe_xscan by Purple Endurer2007-2-3 11:21:4Windows XP Service Pack 2(5.1.2600)管理员用户组
O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32//rundll32.exe windhcp.ocx,input(自动启动)----/到注册表里删除了。
从病毒隔离区里恢复了三个病毒文件。1)tian.exe 采用PECompact 2.x -> Jeremy Collake加壳。/----文件说明符 : d:/test/tian.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-3 11:34:23修改时间 : 2007-2-3 11:34:24访问时间 : 2007-2-3 0:0:0大小 : 46592 字节 45.512 KBMD5 : 752b10c91caa7e768d11c8fcfcf5dba1----/Kaspersky 报为 Trojan.Win32.Agent.abf瑞星 报为 Trojan.PSW.JHOnline.fbd
Scanned file: tian.exe - Infected
tian.exe - infected by Trojan.Win32.Agent.abf
2)j.exe采用Microsoft Visual C++ 6.0开发。/----文件说明符 : d:/test/j.exe属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-3 11:52:23修改时间 : 2007-2-3 11:52:24访问时间 : 2007-2-3 0:0:0大小 : 13824 字节 13.512 KBMD5 : 47183f2e3f3252c73286862f31d1ee4c----/会在注册表的Run键中创建启动项对瑞星注册表监控提示窗口,模拟点击按钮“允许”和“跳过”启动后搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。运行cmdbc.exe,装载cmdbc.dll创建远程线程注入explorer.exe进程设置hook程序获取网游《江湖》帐号密码
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es瑞星 报为 Trojan.PSW.Agent.iwx
Scanned file: j.exe - Infected
j.exe - infected by Trojan-PSW.Win32.OnLineGames.es3)windhcp.ocx采用 PeCompact v2.08->Bitsum Technologies(signature by loveboom) 加壳。/----文件说明符 : d:/test/windhcp.ocx属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-3 11:28:15修改时间 : 2007-2-3 11:28:16访问时间 : 2007-2-3 0:0:0大小 : 41984 字节 41.0 KBMD5 : 24a46bea179948ac35e66cdd885306c6----/
Kaspersky 报为 Trojan.Win32.Agent.abf瑞星报为:Trojan.Spy.Agent.cns
Scanned file: windhcp.ocx - Infected
windhcp.ocx - infected by Trojan.Win32.Agent.abf