假冒“windows自动更新”（readme.chm，mshta.exe）

admin · 发表于 2010-12-28 00:18:35

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div>       假冒“windows自动更新”（readme.chm，mshta.exe）的解决办法
       此样本来自剑盟。名为readme.chm，大小为27.9K; MD5值：f6beb11d6123cf5f51fc316996c92762。 
 
       此readme.chm运行后调用系统程序C:\windows\system32\mshta.exe，然后完成下列动作： 
 
       1、在C:\windows\Downloaded Program Files\目录释放exe.exe和tmp.bat。exe.exe和tmp.bat运行后即刻删除自身。 
 
       2、在c:\windows\system32\目录下释放wuauclt1.dll(正常情况下，system32目录下根本就没有wuauclt1.dll这么个文件)。 
 
       3、wuauclt1.dll插入svchost.exe进程运行。此被插svchost.exe是PID号最小的那个；被插svchost.exe通过80端口访问 210.66.36.61（中国，台湾）。 
 
       看看C:\WINDOWS\Downloaded Program Files目录，可发现异常。 
 
       查看一下windows目录下的setupapi.log，可见如下内容： 
 
       [2008/06/29 11:05:53 3220.1] 
 
       #-198 处理的命令行: "C:\windows\system32\mshta.exe" mk:@MSITStore:C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rar$DI00.234\readme.chm::/chmin-boop.html 
 
       #-024 正在将文件 "C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\ZABMZH74\exe[1].exe" 复制到 "C:\windows\Downloaded Program Files\exe.exe"。 
 
       #E361 一个未经过签署或签署不正确的文件 "C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\ZABMZH74\exe[1].exe" 将得到安装(策略=忽略)。错误 0x800b0100: 主题中没有签名。 
 
       被wuauclt1.dll插入的svchost.exe访问网络后，任务栏出现常见的那个黄色盾牌（windows update正在下载补丁）。 
 
       这个“补丁”下载完成后，安装界面也与正常的补丁安装界面无异。只因为是假补丁，所以根本安装不成。 
 
       中此毒后，SRENG日志中，除了“正在运行的进程”部分外，见不到什么异常。 
 
       对比运行此readme.chm前后的SRENG日志“正在运行的进程”部分，可见以下差别： 
 
       运行readme.chm前： 
 
       [PID: 228 / SYSTEM][C:\windows\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
 
       运行readme.chm后： 
 
       [PID: 228 / SYSTEM][C:\windows\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
 
       [C:\windows\System32\wuauclt1.dll] [Microsoft Corporation, 5.8.0.2469] 
 
       [PID: 3392 / SYSTEM][C:\windows\system32\wuauclt.exe] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] 
 
       假补丁安装完后，IceSword的进程列表中依然可见这个病毒的隐藏进程。 
 
       此毒不能穿透影子。我在影子下运行完此毒，重启后，上述所见统统看不到了 
 
       ================== 以下为解决方法===================== 
 
       用UNLOCKER删除c:\windows\system32\wuauclt1.dll 因为被插入SVCHOST进程了 
 
       看看C:\WINDOWS\Downloaded Program Files目录 
 
       删除C:\windows\system32\mshta.exe 
 
       清除"C:\Documents and Settings\XXXXX\Local Settings\Temporary Internet Files\Content.IE5 目录里所有文件 
 
       查找readme.chm 文件删除

jefkea · 发表于 2011-2-15 19:56:15

要不我崇拜你?行吗?

宁天味 · 发表于 2011-3-4 06:49:11

提示: 作者被禁止或删除内容自动屏蔽

吕佩打 · 发表于 2011-3-5 06:36:08

牛逼

iStory · 发表于 2011-3-20 06:36:56

不错，支持下

％.木瓜李 · 发表于 2011-3-25 06:37:02

不错，支持下

chsdtt55 · 发表于 2011-4-28 06:57:23

有空一起交流一下

large1273 · 发表于 2011-5-21 15:43:28

勤奋真能造就财富吗？

帐号		自动登录	找回密码
密码			免费注册

宁天味宁天味当前离线 UID 1399 主题禁止发言ＣＮ币币威望值报料奖元贡献值回复帖日志好友帖子主题听众收听性别保密 IP卡狗仔卡头像被屏蔽	发表于 2011-3-4 06:49:11 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
	【招募版主】常宁论坛版主招募中！快点击加入我们吧！发杨传统...看贴回贴是美德！
	回复支持反对使用道具举报显身卡