千橡互联使用病毒手法,流氓感染EXE文件!
如果这件事情属实,已经触犯刑律了!!!
====================================
千橡互联流氓感染EXE文件 (附修复程序)
WQXNETQIQI(MJ0011)投递:
今天论坛上一位朋友提到中了千橡互联一个可怕的流氓软件 不同于以往的多使用插件,ROOTKIT技术的流氓软件,它居然用的是最无耻的感染EXE方式,几乎所有不大于5MB的EXE文件都会被感染,以下是原帖:
=======================
分割线
貌似中了Trojan-Downloader.Win32.Delf.axl
貌似卡巴是9月16号查出来的
貌似感染了所有分区上大约不大于5MB的EXE文件
我Google了一下:
king 在 avfbbs.80port.net 的帖子写道:
引用:
关于Trojan-Downloader.Win32.Delf.axl的一些东西
具体我不清楚大家是怎么感染的,我也没有卡巴来测试是否就是此病毒.
那么总结一下清除的大概方法.
这个木马程序,我分析以后发现,是个流氓软件 叫 千橡互联
一般中这东西也可能是软件某些捆上的.
他的情况是在你的系统盘 *:Documents and Settings你的用户名Templates目录下产生一个随机目录,,,大致是37d48bc 这样
我在一台感染机上发现的位置是这样的C:Documents and SettingsAdministratorTemplates37d48bc
该目录下有一个EXE文件和几个DLL文件组成,EXE文件负责向系统进程注入DLL文件.
你要想杀掉它,就必须结束系统的explorer.exe 同时不要打开IE,然后进行删除,,该软件会在线自动更新,具体位置是 http://dmww.dmcast.com/script/update.asp?version=%s
如果发现本机安装版本过时,就会自动更新新版程序,,非常的危险....
to 千橡互联:
感染所有EXE文件已经不是什么新技术了,
你用用Rootkit技术倒是无妨,无非是清除了感染,感染了再清除
可你不要用这样低劣的手段伤我们的心
分析
=======================
给我有一个被感染的文件,分析了一下 原来是直接把文件数据放到文件里,然后用自己去替换那个文件,类似加壳那样.被感染的文件一般会增加100KB左右
卡巴会报Trojan-Downloader.Win32.Delf.axl
但是无法清理干净被感染的EXE
技术细节
=============================
感染后文件OFFSET 34CH处一个dword的值标志着感染前文件被定位到哪里
然后文件的末尾一个dword则记录了感染前文件的长度
感染后还会到另一个网站去download一个包含了更多流氓软件的exe,有兴趣的可以继续反汇编那个delphi的SHELL
这里提供一个我写的修复工具re_qx.exe
下载:mj0011的网盘
http://free.ys168.com/?mj0011
可到我的网盘下载
用法是re_qx.exe 被感染文件 恢复的输出文件
例:
re_qx cmd.exe cmd_fix.exe
即可将被感染的cmd.exe恢复为正常的cmd_fix.exe
计算了一下hash,恢复后的和正常的HASH校验值是一样的
可以在命令行下使用,也可以用cmd写批处理来大批量恢复 也可以在程序中调用(要注明作者哦:P)
运行结果:
C:Documents and Settings***桌面>re_qx sqlexec.exe sql.exe
千橡感染EXE还原 By MJ0011 th_decoder@126.com
Infected file size=378433
Source file size=274493
Source file local at=103936
outputing file...
output file: sql.exe OK
杀毒成功,别忘了搜霸论坛,多多推荐哦~~~~~~~
搜霸站长精彩推荐:
以下网站经网站安全中心检测,检测时有病毒,请网友提防!!
“亡羊补牢”方法来挽救中毒辣系统
梦幻西游帐号被盗之快速解决燃眉之急
手工删除Trojan.DL.Small.oan(nwupspx)病毒
重点分析:病毒杀不死的原因及对策
EXERT.exe和LSASS.exe病毒木马专杀
清除lsass.exe病毒的一个方法
lsass.exe病毒木马手工清除方法病毒症状
教大家一招金蝉脱窍——一招克死所有病毒!
发个卡巴斯基6的激活码
木马病毒清除的通用解法
制服顽劣的间谍软件有绝招!轻松就搞定!
都是超女惹的祸!QQ密码网上大量被盗原理
QQ密码找回指南新编 带你快速找回QQ密码
深圳各行业薪水大揭密!
中国街头常见骗术大全
深圳各大医院体检套餐价目表(7大公立医院)
ATM自动银行惨案:发人深思令人震撼的3秒钟!
惊绝古今美女健身操!(看完别崩溃)!
恶搞影片:一个馒头引发的血案!
真实现场:飞机航拍到的恐怖车祸全过程(组图)
| 浮云 发表于 2006-10-09 17:34 | #1 |
威金变种感染 ~.exe病毒文件修复工具 今天在网吧工作的一个朋友向我求救说,中了 ~.exe病毒分析请看下面,我也第一次遇到这问题,去网上查资料,查不到。在网盟论坛看资料的时候无意间发现此软件,经过朋友的测试,问题已经彻底解决了,不然的话网吧那么多机子一定忙死掉(克盘)。感谢网盟的人。敬礼。 以下是网盟“天之飞龙”的文章: 威 金 变种中毒,几百个程序都加上了~.exe,杀客可以不管它了(因为不是马,是毒) 才半小时,好多软件就损坏,比如QQ.exe,运行时会生成一个QQ~.exe,进程中显示的是QQ~.exe,而原来的QQ.exe可以被删除(已经退出执行了),磁盘上新生成的QQ~.exe刚显示出来就消失了。 其它被损坏的程序也一样,运行时都生成一个带~的副本。 现在病毒好像已经消除(同时安装了毒霸+诺顿),损坏的程序现在是有毒还是无毒? 可以不管它们吗?(那么多程序要删除太可惜了,难找) ---- 中毒原因:寻找一个cab Station的软件,但好多下载站下载后实际是个木马+病毒。 -------- 1。前几天杀掉后留下后遗症,大量EXE文件运行后产生一个带~的副本(金山不能修复) 2。更新金山病毒库到9月22日,后遗症终于解决了(金山正在修复) 同时查出该病毒名:Win32.WmZero 网上均查不到此毒资料。 本软件是修复 ,不是删除 ~.exe 文件 此软件为分卷压缩 请在同一文件夹下解压(说明: 请先在一个盘测试后再在其他盘使用,谢谢合作) 威金变种感染 ~.exe病毒文件修复工具 专杀下载地址: http://cnhx.com.cn/showart.asp?id=264 (提醒一下大家,这个网站我没有测试过,不知是否有毒,最好的建议是,下个卡巴或金山,把病毒库升级,不过死马当活马医,阿门,看你们的运气了,我装上了卡巴,还好只中一般病毒,全被卡卡掉了,感觉卡巴很敬业的) 希望热心的朋友们多多推荐一下搜霸网站,再次谢过啦~~~~~~ | |
| 返回 | |
