关于伪装mp3病毒的紧急处理警告及处理
源于这个报告:
http://bbs.kafan.cn/viewthread.p ... page%3D1#pid4384571
样本是伪装为mp3的asf文件。
小红伞19引擎已经紧急修正对此威胁的检查。
但是。以前设置的小红伞只能在扫描器发现查出此威胁。
而严重的是,实时监控的默认设置是不会拦截这个mp3的。因为该危险实际上是asf。因此实际上小红伞仍然会漏过这个威胁。幸好,这个样本的下载文件今天早晨已经上报并且可查了。否则病毒会一路运行下去。
因此需要将mp3类别文件添加人小红伞扫描才行。否则,当你用wmp播放此mp3时,会中毒。
这个是紧急措施。伞兵需要立即修改配置。
针对此问题,我已经紧急更新了晓月小红伞初装设置和备份工具1.4.请不会设置的运行一次初装设置吧。
另外。所有的晓月版本安装包也进行了改进。安装后会自动设置这个。
该mp3运行后结果如下:
日期时间:2008/8/7 11:52:04 , 2008/8/7 11:55:21
计算机名:
使用者名:
要点注释:
mp3文件实际上是asf文件。用微软媒体播放器播放才会激活漏洞。利用ie访问
http://www.flashcodec.com/download.php?v=1009&t=2970328
下载文件
Windows_Media_Player_Flash_Codec_Plugin.exe。该文件才是木马本身。
----------------------------------
增加键:8
----------------------------------
HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RASMAN\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_T
APISRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASMAN\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control
----------------------------------
增加值:20
----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32\Asynchronous: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32\DllName: "winexy32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32\Impersonate: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32\Startup: "QOQStartup"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexy32\Shutdown: "QOQShutdown"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR\Data: 0x0E202040
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR\LSTV: D8 07 08 00 04 00 07 00 0B 00 36 00 0B 00 5D 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR\Brnd: 0x000003F1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR\MSLIST: 83 98 99 9E D5 DF DE 81 96 95 87 95 9F 95 9C 8F 8B D2 9F 97 85 2F 68 6F 64 2B 66 6B 63 26 79 62 7B 0C 3D 0E 3F 10 21 12 7B 60 61 66 2D 37 36 69 76 7D 6F 6A 32 53 44 41 56 56 4C 52 5E 06 4B 43 51 03 44 43 48 1F 52 5F 57 1A 45 5E 47 38 09 3A 0B 3C 0D 3E
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RASMAN\0000\Control\ActiveService: "RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAPISRV\0000\Control\ActiveService: "TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASMAN\0000\Control\ActiveService: "RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control\ActiveService: "TapiSrv"
HKEY_USERS\S-1-5-21-1085031214-179605362-839522115-500\Software\Microsoft\MediaPlayer\Preferences\URLAndExitCommandsEnabled: 0x00000000
----------------------------------
修改值:24
----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDF00DB-1234-46EC-8356-27E7B2051192}\Model: 0x000000B4
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDF00DB-1234-46EC-8356-27E7B2051192}\Model: 0x000000DB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDF00DB-1234-46EC-8356-27E7B2051192}\Therad: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DDF00DB-1234-46EC-8356-27E7B2051192}\Therad: 0x00000017
----------------------------------
文件增加:8
----------------------------------
C:\WINDOWS\system32\winexy32.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\win2.tmp
C:\Documents and Settings\Administrator\桌面\Windows_Media_Player_Flash_Codec_Plugin.bat
C:\Documents and Settings\Administrator\Cookies\administrator@isvbr[1].txt
