邪恶的ghost.pif(兼答**door0.dll木马群的查杀)
<p>ghost.pif之前有分析过,现在又发现出现了新变种。具体分析如下:<br/>File: Ghost.pif<br/>Size: 22575 bytes<br/>MD5: 550AD3A14D272B9D4BA7A019F714BFF5<br/>SHA1: 69AC64704EA1FAF21F31B97473B3F57CCFCCA88F<br/>CRC32: B61F22F8</p><p>运行后生成如下文件:<br/>%ProgramFiles%\Common Files\goskdl.dll(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.bak(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.dll(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.ebk(随机6位字母文件名)</p><p>注册表操作:<br/>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面添加<br/><{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><%ProgramFiles%\Internet Explorer\rksldk.dll> <br/>达到开机启动目的<br/>HKLM\SOFTWARE\Classes\CLSID\下面添加<br/>{C1626E66-C26B-C628-E1DF-CDACCFA26EE1} 指向%ProgramFiles%\Common Files\goskdl.dll通过IE浏览器钩子加载</p><p>查询以下注册表项目的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"MFC42.DLL"命名的文件夹<br/>SOFTWARE\\rising\\Rav<br/>SOFTWARE\\Kingsoft\\AntiVirus<br/>SOFTWARE\\JiangMin<br/>SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal<br/>SOFTWARE\\KasperskyLab\\SetupFolders<br/>SOFTWARE\Network Associates\TVD\Shared Components\Framework<br/>SOFTWARE\Eset\Nod\CurrentVersion\Info<br/>SOFTWARE\\Symantec\\SharedUsage<br/>SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe<br/>并在MFC42.DLL文件夹下生成歧义文件夹I1!O!0..\导致windows下无法删除该文件夹</p><p>检测新移动硬件插入 如果插入了新硬件 那么在其根目录下生成ghost.pif和autorun.inf</p><p>控制explorer连接网络下载木马<br/>读取hxxp://www.xxxxx.org/Data/oK.txt的下载列表<br/>下载hxxp://ora.xxxxx.com/Sex/1.exe<br/>hxxp://ora.xxxxx.com/Sex/2.exe<br/>hxxp://ora.xxxxx.com/Sex/3.exe<br/>hxxp://ora.xxxxx.com/Sex/4.exe<br/>hxxp://ora.xxxxx.com/Sex/5.exe<br/>hxxp://orb.xxxxx.com/Sex/6.exe<br/>hxxp://orb.xxxxx.com/Sex/7.exe<br/>hxxp://orb.xxxxx.com/Sex/8.exe<br/>hxxp://orb.xxxxx.com/Sex/9.exe<br/>hxxp://orb.xxxxx.com/Sex/10.exe<br/>hxxp://orb.xxxxx.com/Sex/11.exe<br/>hxxp://orb.xxxxx.com/Sex/12.exe<br/>hxxp://orb.xxxxx.com/Sex/13.exe<br/>hxxp://orb.xxxxx.com/Sex/14.exe<br/>hxxp://orb.xxxxx.com/Sex/15.exe<br/>hxxp://orb.xxxxx.com/Sex/16.exe<br/>hxxp://ora.xxxxx.com/Sex/M1.exe<br/>hxxp://ora.xxxxx.com/Sex/oKoK.exe<br/>到%Temp%文件夹</p><p>木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件<br/>并且插入Explorer.exe和由explorer.exe启动的进程</p><p>sreng日志体现如下<br/>注册表<br/>启动项目<br/><br/> <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> <br/> <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []<br/> <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []<br/> <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []<br/> <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []<br/> <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []<br/> <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []<br/> <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []<br/> <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []<br/> <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []<br/> <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []<br/> <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []<br/> <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []<br/> <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []<br/> <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []<br/> <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []<br/> <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> []<br/>浏览器加载项<br/>[]<br/> {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation><br/>正在运行的进程<br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> <br/> </p><p><strong><font color="#ff0000">解决办法:</font></strong></p><p>一、清除ghost.pif产生的病毒文件<br/><strong>重启计算机 进入<br/>安全模式下</strong>(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)<br/>双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击</p><p>“是” 然后确定<br/>打开任务管理器-进程-结束explorer进程 此时桌面消失</p><div forimg="1"><br/>点击 任务管理器菜单栏 文件-新建任务-浏览 在弹出的浏览窗口里找到 <br/>%ProgramFiles%\Common Files\goskdl.dll(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.bak(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.dll(随机6位字母文件名)<br/>%ProgramFiles%\Internet Explorer\rksldk.ebk(随机6位字母文件名)<br/>右键删除他们</div><div forimg="1"><div forimg="1"><img class="blogimg" src="http://hiphotos.baidu.com/newcenturysun/pic/item/6e7b80ee52e73d202cf53455.jpg" border="0" small="0" alt=""/></div></div><p>二、清除ghost.pif下载的木马*door0.dll</p><p><strong>注意此步必须在安全模式下 且不要打开任何其他程序,因为病毒会插入由explorer.exe启动的任何程序</strong><br/>还是打开任务管理器 结束explorer进程 然后<br/>点击 任务管理器菜单栏 文件-新建任务-输入cmd 确定<br/>打开了命令行窗口<br/>在命令行窗口中进入%system32%文件夹<br/>然后 输入 del *door0.dll /f /q<br/>点击 任务管理器菜单栏 文件-新建任务-输入explorer.exe 确定</p><div forimg="1"><img class="blogimg" src="http://hiphotos.baidu.com/newcenturysun/pic/item/4f1b4d82ce4ed7ab0df4d256.jpg" border="0" small="0" alt=""/></div><p>三、清理注册表<br/>打开sreng <br/>启动项目 注册表 删除如下项目 <br/><br/> <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> (随机6位字母文件名)<br/> <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll> []<br/> <{074616A6-5ADC-4A3F-B252-E1D605228B5C}><C:\WINDOWS\system32\wmdoor0.dll> []<br/> <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\WINDOWS\system32\qjdoor0.dll> []<br/> <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll> []<br/> <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\WINDOWS\system32\mydoor0.dll> []<br/> <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\WINDOWS\system32\qhdoor0.dll> []<br/> <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\WINDOWS\system32\zxdoor0.dll> []<br/> <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\WINDOWS\system32\tldoor0.dll> []<br/> <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\WINDOWS\system32\wddoor0.dll> []<br/> <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\WINDOWS\system32\rxdoor0.dll> []<br/> <{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}><C:\WINDOWS\system32\fydoor0.dll> []<br/> <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll> []<br/> <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztdoor0.dll> []<br/> <{71046DD5-E136-4C4B-A6B5-91C30CB15291}><C:\WINDOWS\system32\jtdoor0.dll> []<br/> <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll> []<br/> <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll> [](等所有*door0.dll的项目)</p><p>系统修复-浏览器加载项-找到如下项目 点击删除项目,在弹出的对话框中点“是”<br/>[]<br/> {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} <C:\Program Files\Common Files\goskdl.dll, Microsoft Corporation> (随机6位字母文件名)</p><p>四、删除瑞星 江民 卡巴 360文件夹下的MFC42.DLL<br/>方法:<br/>新建一个记事本文件<br/>输入如下字符</p><p>DEL /F /A /Q \\?\%1<br/>RD /S /Q \\?\%1</p><p>保存为1.bat文件<br/>将要删除的MFC42.DLL文件或者文件夹,用鼠标左键拖放到1.bat的文件图标上(就像把文件拖到文件夹里的操作一样),一个CMD窗口闪烁之后伪"MFC42.DLL"文件夹就被删除了</p><p><strong>近来出现的打开IE或者我的电脑杀毒软件监控就关闭和按照原来的方法无法解决杀毒软件应用程序正常初始化(0xc00000ba)失败的现象也是由于此病毒引起,所以可按此法一并解决</strong></p>
页:
[1]