Worm.Win32.Skipi stwinsdat.exe专杀方案
文件名称:stwinsdat.exe
文件大小:188416 bytes
AV命名:Worm.Win32.Skipi(卡吧)
加壳方式:未
编写语言:VC++
病毒类型:IM类蠕虫
文件MD5:F86F7C9642474BD93FB22185EC27FFEE
传播方式:skype
行为:
1、释放病毒副本:
%Systemroot%\system32\odcwinst.exe 188416 字节
%Systemroot%\system32\servftc.exe 188416 字节
%Systemroot%\system32\stwinsdat.exe 188416 字节
%Systemroot%\system32\windb32.exe 188416 字节
并0。2秒检测上述文件是否存在,若不在,则重新拷贝。
PS:文件名不是固定的!
2、修改多处注册表,开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Services Start2
REG_SZ, "odcwinst.exe "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Logon Settings2
REG_SZ, "odcwinst.exe "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Windows Sysdat
REG_SZ, "explorer.exe odcwinst.exe "
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Policies Options2 = REG_SZ, "o"
以至于SREng、Autoruns等日志无法发现其启动项。。
3、非法修改HOSTS,实现DNS劫持,受影响的厂家有:
kaspersky
drweb
f-secure
norman
mcafee
CA
symantec
microsoft
virustotal(汗,这个也不放过)
nod32
avast
eset
当试图升级上述公司产品时,连接请求会被重定向。
包含了1160行记录。HOSTS多达30000K+。
列一部分:
78.92.101.95 www.networkassociates.com
142.240.3.38 ca.com 199.23.177.181 www.ca.com 58.213.158.65 mast.mcafee.com 44.47.164.30 www.mast.mcafee.com 137.154.203.142 my-etrust.com 205.180.15.215 www.my-etrust.com 36.50.99.152 download.mcafee.com 208.25.245.92 www.download.mcafee.com 28.180.212.147 ftp.downloads1.kaspersky-labs.com
207.80.124.253 www.ftp.downloads1.kaspersky-labs.com 112.82.254.144 ftp.downloads2.kaspersky-labs.com 35.201.48.247 www.ftp.downloads2.kaspersky-labs.com 224.125.255.210 ftp.downloads3.kaspersky-labs.com 210.38.180.78 www.ftp.downloads3.kaspersky-labs.com 253.219.118.248 ftp.downloads4.kaspersky-labs.com 36.205.16.211 www.ftp.downloads4.kaspersky-labs.com 109.75.145.104 download26.avast.com
146.192.98.72 sl26.avast.com 232.80.199.138 rs26.avast.com 2.228.247.183 download27.avast.com 123.185.184.37 sl27.avast.com 220.17.36.19 rs27.avast.com 191.41.173.245 download28.avast.com 53.106.95.13 sl28.avast.com 102.227.101.59 rs28.avast.com 119.247.207.22 download29.avast.com 177.83.146.59 sl29.avast.com 223.36.208.230 rs29.avast.com 247.134.90.191 download30.avast.com 4、在Explorer.exe创建远程线程,当主体被结束时候,由Explorer重新加载。
每6秒检测一次主体是否存在,若不在,则激活。
5、每150毫秒检测一次,获取尝试激活的PID,并关闭一部分安全工具。
具体判断方式还未知。这导致安全工具即使是重命名,仍无法开启。
(有谁知道的请告诉我,Q526170722,谢谢)
6、每隔60毫秒检测skype窗口,并获取文本输入函数,尝试发送扩展名为scr文件与一些语言
(这点和MSN蠕虫相似):
 不过偶没有skype,所以没有实现,可能不准确。
7、当Skype用户接受并执行该文件时候,它会尝试用图片浏览工具激活系统自带的Soap Bubbles.bmp。
但你看到这张图片的时候,事实上病毒已经激发了。
(这点创意很不错,避免用户怀疑)
8、枚举进程模块,当发现mscoree.dll时候,则退出病毒线程?
(呵呵,可能也不准确)
解决方法:
由于这个病毒使用随机命名方式,所以可能会比较麻烦。。
等等,对了,你发现了什么,呵呵,它们的文件大小都是一样的!!!
哈哈````
直接放桌面,后关闭网络连接。
然后按F3打开系统搜索,填入例如:
 例如酱紫拉,我的是2K系统,可能会有点不一样啊。
PS:一共有4个病毒副本,3个是隐藏和系统属性,搜索时记得也选上搜索隐藏文件啊,或者先显示它们。
另外如果输入的大小188416无法查找到的话,那么改为188000K试试!
2、找到后,记住他们的文件名,打开Powerrmv.
选上抑制对象再次生成,填入:
C:\Windows\System32\你查找到的文件.exe
我的是:
C:\Windows\system32\odcwinst.exe
C:\Windows\system32\servftc.exe
一共有3个,不要漏了。
3、打开SREng,删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<Services Start2><odcwinst.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <Policies Options2><o> [N/A] 并用SREng重置HOSTS。
然后 开始-运行regedit,删除第2点分析的注册表项,不要删错了!
  |
yuncx
博客统计信息
热门文章
最新评论
友情链接