风云小站 » 『 求助专区 』 » 电脑中了Win32.Sality Family病毒,有点难缠!
本页主题: 电脑中了Win32.Sality Family病毒,有点难缠! 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

80286
天天向上!
级别: 荣誉会员


精华: 0
发帖: 893
威望: 817 点
风云币: 2985 元
专家分: 2 分
在线时间:190(小时)
注册时间:2006-10-03
最后登录:2008-03-08
引用 推荐 编辑 只看 复制

 电脑中了Win32.Sality Family病毒,有点难缠!

病毒发现过程:
电脑操作系统:XP2
由于网速过慢,电脑未安装杀毒软件,安装有ashoomaple(大概咯,现在在网吧)!
昨天上网时防火墙突然提示输入法(ctfmon.exe)要访问网络,然后过了一段时间又提示防火墙自身要访问网络!平时使用时都没有出现这种情况,于是就使用KVDOS(11月4号的)进行杀毒,kv是报的win32.hllp,全部是感染的可执行文件!在system32文件夹下有个olemdb32.dll文件kv检测到了,但提示删除失败!于是用unlock进行删除,unlock显示其绑定在了ctfmon.exe,explorer.exe等文件上面,然后用unlock的解锁功能将其解锁,顺利删除了!防火墙拦截日志里面也没有相关拦截记录!但今天上网时防火墙又出现应用程序访问网络的提示,于是再用KVDOS杀毒(在操作系统下),又杀了50多个,也是感染了.exe文件!在网上找到了一些信息,但没有找到清除方法,如下:
病毒特征:
Win32.Sality是一种多形态病毒,感染Win32 PE可运行程序。它还包含特洛伊的成分。已知的Win32.Sality病毒被Win32/Bagle family变体下载。


感染方式
当一个被感染文件被运行时,病毒解密自身并在%System%目录中生成一个DLL文件。DLL文件被注入其它的运行程序。随后病毒运行主程序代码。

已经发现的Sality病毒变体可能使用以下名称:
§ %System%\syslib32.dll
§ %System%\oledsp32.dll
§ %System%\olemdb32.dll
§ %System%\wcimgr32.dll
§ %System%\wmimgr32.dll

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

Sality的很多变体还会尝试感染可运行文件,参考以下注册表键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

这样能够使病毒在每次系统启动时运行。


传播方式
通过文件感染
Sality查找本地C:\ 到 Y:\ 的Windows PE文件进行感染。一些变体不感染大小在4K以下或者在20M以上的文件。病毒在它的固有码运行入口替代代码,并添加一个加密的病毒副本到主文件,随后运行主程序代码来隐藏病毒的存在。


通过网络共享传播
Sality列举网络上的共享,随后查找本地共享中的Windows PE运行文件。


危害
窃取系统信息
一些Sality变体收集被感染系统信息,并将信息发送到mail.ru域。
发送的信息包括以下一些内容:
§ OS 版本
§ IP 地址
§ 计算机名
§ 最近访问的URL
§ 密码
§ ISP 拨号连接详细资料和密码


下载并运行任意文件
Sality变体连接特定的域,这个域提供指令进行下载并运行文件,例如:
hut2.ru
invis1blearm3333.com
egozdq.com
5558x7.com
wtcvxu.com
fdpgb3.com
bpfq02.com
u7zywp.com
zvco6m.com
qiredremer.biz
sbapodremer.biz
pgpwdremer.biz
gogcojdremer.biz
rus0396kuku.com
vrrnscdremer.biz
connect2me.org
下载的文件可能为远程未经授权的用户来控制被感染的机器。Sality还会下载其它病毒,例如Win32/Onecooked。


删除文件
Sality查找C:\ 到 Y:\ 子目录中以下扩展名的文件:
.vdb
.avc

找到的文件就被删除。这样会使某些AV产品失效或者削弱。


终止进程
Sality配比自身代码中的列表,查找并删除其中的任意进程;列表可能包括以下:
AVXQUAR
ICSUPP
ICSSUPPNT
ESCANH
AVLTMAIN
VSMAIN
TRJSCAN
PROTECTX
PORTDETECTIVE
PINGSCAN
PERISCOPE
NPFMESSENGER
MCAGENT
LOCKDOWN
DRWTSN32
DRWATSON
CLEANER
BLACKICE
BIPCP
BIDSERVER
BIDEF
AVPROTECT
AVGSERV
ATGUARD
AVSYNMGR
AUTOTRACE
SAVSCAN
RTVSCAN
NUPGRADE
NPROTECT
MGUI
MCUPDATE
NMAIN
ANTI
NOD32
ZONEALARM
OUTPOST
DRWEB
KAV
AVP
NAV

当Sality删除一个进程时,会显示一个错误信息:



键盘记录
一些Sality变体记录被感染用户的按键,并在%System%中保存一个文件。文件名以"win"为前缀,后面的是任意字符,例如:
%System%\WINFIGBO.BGO

这个文件的位置被发送到mail.ru域。


改变防火墙设置
Sality的特洛伊成分修改Windows Firewall设置,作为权威软件添加。这样就会有效的允许一些程序通过防火墙。


HTTP代理
一些Sality变体在被感染机器的80端口运行一个HTTP proxy。特洛伊连接shared-admin.com域,并接受指令连接connect2me.org域,随后返回一个IP地址。所有请求发送到之前返回IP地址的被感染机器上运行的proxy。


显示信息
如果日期是10月10日,一些Sality变体查找并显示一个报警,如果小时和分钟是同一个值,例如21:21。请看以下报警:

"<<<<<Hey, Lamer! Say "Bye-bye" to your data!>>>>>"


获取邮件地址
Sality的特洛伊成分查找Win32/Bagle变体生成的文件,包含获取的邮件地址,例如%Windows%\vcremoval.dll。这个文件位于被感染机器,被发送到www.invis1blearm3333.com域。


其他信息
Sality存储配置文件到:%Windows%\system.ini。

注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。

清除:
KILL安全胄甲最新版本可检测/清除此病毒。

文章地址:http://www.kill.com.cn/vir/ruchong/high/2608.asp
[ 此贴被80286在2006-11-14 21:06重新编辑 ]
本帖最近评分记录:
  • 风云币:2(水映天涯)
    • 休息中..............
    顶端 Posted: 2006-11-13 22:03 | [楼 主]
    heroyb
    风云墙第二帅哥(第一是我小弟)
    助人为乐奖 技术专家奖 特殊贡献奖
    级别: 风云元老


    精华: 2
    发帖: 2509
    威望: 2066 点
    风云币: 302 元
    专家分: 96 分
    在线时间:892(小时)
    注册时间:2006-08-22
    最后登录:2018-05-17
    引用 推荐 编辑 只看 复制

     

    用icesword结束病毒进程,
    然后用icesword和金山文件粉碎器删除病毒文件,
    之后用杀毒软件杀毒。
    如果有专杀可以修复感染文件更好,实在不行还是删除吧。
    顶端 Posted: 2006-11-13 23:33 | 1 楼
    eyesonly
    级别: 资深会员


    精华: 0
    发帖: 43
    威望: 999 点
    风云币: 2010 元
    专家分: 0 分
    在线时间:9(小时)
    注册时间:2006-11-01
    最后登录:2008-04-09
    引用 推荐 编辑 只看 复制

     

    安全模式下杀毒,一般都可以清除掉
    顶端 Posted: 2006-11-14 00:07 | 2 楼
    80286
    天天向上!
    级别: 荣誉会员


    精华: 0
    发帖: 893
    威望: 817 点
    风云币: 2985 元
    专家分: 2 分
    在线时间:190(小时)
    注册时间:2006-10-03
    最后登录:2008-03-08
    引用 推荐 编辑 只看 复制

     

    昨晚使用kv移动版升级到最新病毒库,在安全模式下面进行杀毒,提示将olemdb32.dll文件删除,我到system32文件夹下查看了下,也没有了!但今天一开机防火墙里面又出现了相关的拦截日志了!在系统进程里面看不出有什么特别的进程的!IC我也用过,那文件IC跟本就不起作用的咯!
    我再试试用金山的文件夹粉碎功能!
    先谢谢各位了!
    休息中..............
    顶端 Posted: 2006-11-14 08:14 | 3 楼
    月老
    黄鱼党|大家好才是真的好!
    级别: 荣誉会员


    精华: 0
    发帖: 2968
    威望: 1433 点
    风云币: 3075 元
    专家分: 3 分
    论坛群: ☆黄鱼党☆
    在线时间:597(小时)
    注册时间:2006-11-01
    最后登录:2024-01-03
    引用 推荐 编辑 只看 复制

     

    显示所有文件和文件夹(隐含及系统保护)
    打开“我的电脑-->工具-->文件夹选项-->查看-->把选项去掉
    “隐藏受保护系统文件(推荐)”
    “隐藏已知文件类型的扩展名”
    前面的钩,选中显示所有文件和文件夹-->保存设置
    删除下面木马相关文件


    下载下面文件删除工具
    http://38.xdowns.com/UploadFile/2006-10/200610411191079937.rar
    使用方法:把需要删除的文件的完整目录***到地址栏里,删除文件。必要时可以选择重启时删除,或重启时替换文件。


    C:\WINDOWS\system\fa9o5fa1.dll
    C:\WINDOWS\System32\fa9d5fa0.dll
    C:\WINDOWS\system32\pyjjkdll.dll
    C:\WINDOWS\system32\taskmgr32.exe
    C:\WINDOWS\system32\wcmlogon.dll
    虽然我已英年早肥,但我仍然很穷!!!黄鱼党|月老
    欢迎大家光临我爱天使技术论坛!
    顶端 Posted: 2006-11-14 08:44 | 4 楼
    80286
    天天向上!
    级别: 荣誉会员


    精华: 0
    发帖: 893
    威望: 817 点
    风云币: 2985 元
    专家分: 2 分
    在线时间:190(小时)
    注册时间:2006-10-03
    最后登录:2008-03-08
    引用 推荐 编辑 只看 复制

     

    呵呵!
    回楼上的好心人,你给我的是个木马剑客咯,其功能应该跟icesword差不多的啊!我把上面的文件在system32文件夹下面又搜索了一下,没有的啊!
    我只发现在我的电脑里面生成了一个olemdb32.dll文件,我是通过杀毒软件发现的,因为kvdos提示删除失败(11月4号的)),我用过icesword,不管用的!用了unlock,当时到是删掉了,跟上面的病毒信息一样,可能运行了一些程序过后就又有了!下面有张图咯!他把自己绑定到了可执行文件上面!我听说金山的文件粉碎功能比较好用,今天就去下载了个,下载下来是个金山的2007套装,当时也没找到文件粉碎功能在哪里,于是就拿附带的升级工具进行升级,再进行全盘杀毒,又杀掉52个,今天电脑用一段时间了,防火墙里面没有相关了拦截日志,好像没问题了!
    [/img]
    休息中..............
    顶端 Posted: 2006-11-14 21:25 | 5 楼
    帖子浏览记录 版块浏览记录
    风云小站 » 『 求助专区 』
    感谢,曾经的版主
    Total 0.009490(s) query 6, Time now is:12-27 05:12, Gzip enabled 渝ICP备20004412号-1

    Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation     Skin by Chen Bo