本文分析了sysload3.exe病毒的基本信息、特征及清除方法。该病毒通过局域网、软盘、U盘传播,感染.exe文件,并通过创建自启动项、隐藏进程等方式进行扩散。
sysload3.exe分析结果:
一、基本信息
MD5:e1c174d72cca73ade18c72772d840794
二、病毒特征
感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。
三、病毒现象
1 创建自启动项:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run [System Boot Check] = C:/WINDOWS/system32/sysload3.exe
2 启动隐藏两个进程:
1) IE(X:/program files/Internet Explorer/IEXPLORE.EXE)
2) Notepad(%windir%/NOTEPAD.EXE)
3 创建两个远程线程,加载到两个隐藏进程中。
4 IE进程做的事:
1) 首先下载一个config.ini文件到%system32%下,URL = http://a.2007ip.com/css.css
2)根据配置文件升级病毒体。
3)修改%system32%/drivers/etc/hosts文件
4)下载N多木马,到系统文件夹下。
5 Notepad进程更可怕:
1) 将自身COPY到%system32%下。
2)运行下载的木马程序,1.exe, 2.exe, 3.exe, 4.exe, ..., 20.exe。
3)感染文件,包括本地硬盘,网络映射盘。
4)在感染文件的时候,在%system32%下会产生一些临时文件tempIcon.exe, tempload.exe。
5)死灰复燃:该病毒会藏身于A盘,U盘等可移动盘的根目录中,包括两个文件:
tool.exe (隐藏H属性)
autorun.inf (隐藏H属性)
四、清除方法
1 首先清除病毒体
1) 结束进程 X:/program files/Internet Explorer/IEXPLORE.EXE和 %windir%/NOTEPAD.EXE
2)删除文件
%system32%/sysload3.exe
%system32%/tempIcon.exe
%system32%/tempload.exe
%system32%/1.exe
%system32%/2.exe
%system32%/3.exe
...
%system32%/32.exe
%system32%/config.ini
3) 删除注册表键值
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/System Boot Check
4) 修复hosts文件
可只保留一行,将其他行屏掉(在行首加#):
127.0.0.1 localhost
2 清除被感染的文件
用专杀清除死尸
附1:
%system32%/config.ini文件内容:
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
