|
|
手机中招 ------ 来电通QCellCore7.5日数据库包含病毒!!! 最近手机频繁出现 CMK.EXE 无法打开提示,搜遍论坛没发现解决之道!!!6 @ c) I9 J4 m" X) }( p& d/ v
无奈大海捞针网上搜索 ---- 不搜不知道,一搜吓一跳!特意转来给论坛的兄弟;望对论坛兄弟有帮助!!!
: ^3 r) N! F3 P O7 ^7 j. j3 V/ f& K【先说说查杀】
' u4 `" @6 d! b* M文件都在Windows目录下,这4个文件:# R- T% p- n- D; F4 A* L6 L
tapi.exe
5 ~! T- @7 U: h E4 f0 vmsgr.dll# z* R7 }1 F/ w: `+ ~
prog1.exe6 Y4 }; d* ]$ p C% c9 b
prog2.exe
9 k; p2 b2 K8 ]2 A
9 t+ }$ h5 c! j 5 h; Q) k! Z1 S
平时是只有TAPI.exe在后台运行的,将它进程杀掉,然后删除以上列表的所有文件,然后打开注册表,找到
5 C& B1 T9 F# P9 }) D- f4 |. h) l[HKEY_LOCAL_MACHINE\init]
# S0 G! z% X" y5 r5 `4 p5 nLaunch91="windows\tapi.exe"# ^% M$ A! q- |& v
删除掉3 g# m7 \( h/ |, y- X& n' ~# @4 f
8 \7 K+ I( O5 |8 a 7 c5 J$ _- X4 T2 |3 |6 f
; z: F2 g: E+ Z. q再去找短信Filter的项目:) v, K$ T, j: M) g1 Q0 G/ L# w: x6 M
HKEY_CLASSES_ROOT\CLSID\{3AB4C10E-673C-494c-98A2-CC2E91A48115}( E3 n0 g( |* t6 `! ?
HKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules\{3AB4C10E-673C-494c-98A2-CC2E91A48115}
5 R) X: K: ~9 p删除掉2 f5 j# W1 u% ?0 m
这样就清理完了。/ {2 N* ~& s' w, C ~" U
【setup.dll安装库】) i/ q6 b; s- H
它的行为很简单,就是启动daemc.exe罢了
& F+ v% T7 h" j( S【daemc.exe】9 }, p! [3 I! ]# \# ^6 r: I
这个文件才是真正的“安装库”!昨天我也提出疑问,它“看似无害”,实际上,有害得很!
' `! |1 v) g) v ]" H病毒作者为了避免被群众使用ida围观这个文件里赤裸裸的文件名而直接破坏他的心血,特地使用了ASCII字符编码格式来保存文件名数据,这样文件名就可以写成一个数组形式,如“data1.dat”转为ASCII再HEX化则得到0x64,0x61,0x74,0x61,0x31,0x2e,0x64,0x61,0x74,这样的数据在ida里是被作为一串位移和加法显示的,例如之前我没仔细看的这一段:5 \/ f5 g( |. {0 {' l, v
ADD R1, SP, #0x99C+var_940
, g! M6 S* d2 ?/ B4 MADD R0, SP, #0x99C+var_8306 }. }: Q7 B- Y6 o5 J5 Q8 s8 I/ W
BL wcscpy8 p5 V9 v% T1 Z& u5 Y. g; j. h
ADD R1, SP, #0x99C+var_918
5 |9 {3 y6 X$ r7 Y/ m8 i# lADD R0, SP, #0x99C+var_830' w* w# w7 e0 U
BL wcscat
% s/ _. p' J2 ~8 pMOV R2, #0
; w1 o8 T# d6 _ADD R1, SP, #0x99C+var_830
% i: L, F# Z& E# c. ]; vADD R0, SP, #0x99C+var_630+ J( R- \) u7 J! p2 u( C ?
BL CopyFileW
$ j* V, w/ G! }' @( x: A1 S
2 ?/ Z& c( K! M5 l$ X R很明显是用相加的形式将HEX化的字符串还原出来再拼凑出最终的文件名然后复制过去,最后启动TAPI.exe(data1.dat),然后daemc.exe完成任务自杀了。0 E* L6 z7 T6 \% u! |
文件对应关系:9 u' C X+ X/ \$ D. J0 u# E
6 h2 l7 G4 A8 S 4 T+ b J# ~% m) y
【tapi.exe】
M f; H& n% e. S; ?1 I8 u! R对应的文件名是data1.dat,具体作用我昨天已经提到了,自己去看吧。
1 O O0 |& @5 o+ t% f* k它并非从启动目录里启动的,而是通过注册表的init项目。
- X8 F8 O) o! H w1 R4 g+ B, Ytapi.exe负责启动prog1和prog2,并发送注册收费服务短信,所以这是木马的首脑存在。
( I- o/ J* \5 g* x: q. ~【msgr.dll】( u7 \" b; N% K' U; o* |) _
短信过滤库,原文件是data2.dat9 o- Z0 `' q( P) C6 \
- G8 X4 p1 n0 f4 l9 h【prog1.exe和prog2.exe】& X9 @/ K) j7 ^: y4 J- b* f' i5 a7 H
分别对应data3和data4,两个NETCF编写的网络访问器,大量刷百度和Google页面,会给机主带来很多网络流量' p1 z, e* ~9 u; j2 T
【可能产生的其他文件】2 l* f N: Z( q' e" w( _
因为在tapi.exe里看到有一个cmk.exe,但是运行中未见其出现,所以不知道是不是在访问了那个页面后下载的,如果有的话也要清理掉。 |
|
|Archiver|手机版|小黑屋|吹友吧
( 京ICP备05078561号 )
狗仔卡
发表于 2009-9-4 09:25
提升卡
变色卡
显身卡