之前发现到的这个站点以“电影下载”为幌子来欺骗用户下载病毒(具体见:http://www.sacour.cn/post/33.html),在站点关闭几个月后,发现这个站点又重新打开了,连主页的内容都没换。
这次下载回来的毒毒性比之前的提升了一个档次,如果是刚刚执行,还没重启系统,你可以定位到c:\windows\system32\,找寻所有MD5为293B4BD82668C28CA50CFE4FC2D68172的文件把他们删除。
如果重启系统了,那很不幸,由于毒替换了几个系统文件,所以系统启动这几个dll所对应的系统服务的时候(如ntmssvc.dll对应NtMsSvc服务),就等于把恶意的dll启动了,dll没有其他输出函数,只有一个dllmain,这点看跟exe没什么区别,dll启动后,会从“70.39.85.18:8080/Down/33.rar”下载加密文件到%windir%\WindowsUpdata7.jpg,然后程序就开始感染所有的exe文件,感染的文件通常是会多一个名为.tc的节,位于节表最后,如图:
你可以使用杀软修复,也可以手动修复,手修的话,用od启动,
0042D28C . 40 inc eax
0042D28D . 8945 94 mov dword ptr [ebp-6C], eax
0042D290 .^ EB 95 jmp short 0042D227
0042D292 >- E9 39D9FFFF jmp 0042ABD0
找末尾的一个远跳,那儿的就是原始的ep了,把.tc节删除,重新计算下大小,把ep地址还原就行了。至于其他部分的清除,最好还是在pe环境下慢慢删。
以下是包含此病毒的站点(含有恶性病毒,禁止访问,仅供HOSTS表屏蔽用):
av140.com mv190.com mv700.com free.av6000.com
