|
|
手机中招 ------ 来电通QCellCore7.5日数据库包含病毒!!! 最近手机频繁出现 CMK.EXE 无法打开提示,搜遍论坛没发现解决之道!!!
' `2 K0 z& I. J$ S3 w! z$ w8 V无奈大海捞针网上搜索 ---- 不搜不知道,一搜吓一跳!特意转来给论坛的兄弟;望对论坛兄弟有帮助!!!
【先说说查杀】$ V4 c9 } e4 I
文件都在Windows目录下,这4个文件:
5 j0 L$ ^# Z1 Atapi.exe
& [" I6 V8 @& T, p; zmsgr.dll. f, R0 R0 B+ M F3 |, M
prog1.exe
( B7 h. k2 P; K! Y8 \4 ?prog2.exe0 C: k4 P2 `! H
! p! n6 M9 F. F" D; t, o
6 p1 V5 H0 v8 g* o平时是只有TAPI.exe在后台运行的,将它进程杀掉,然后删除以上列表的所有文件,然后打开注册表,找到: U @: W6 c! m" V( `0 X, \" h
[HKEY_LOCAL_MACHINE\init]% ?! `, H, S% A& w
Launch91="windows\tapi.exe"; R3 S0 X4 u: u @
删除掉. w7 \8 N1 \. j# m
! k) X2 K! M7 a 9 U1 |8 @8 V; j+ v4 A/ M
* o+ [) [# h* d2 T, Z A0 d再去找短信Filter的项目:
8 V% ]5 G* \" j+ @1 gHKEY_CLASSES_ROOT\CLSID\{3AB4C10E-673C-494c-98A2-CC2E91A48115}
8 _8 V5 z4 q& J9 K; x( I% FHKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules\{3AB4C10E-673C-494c-98A2-CC2E91A48115}
# _" W w% H M6 i, f2 d. A* D0 L删除掉# B" C& q0 Y4 }& I) u, ~' ]8 Z
这样就清理完了。7 D# k W. [+ D9 @
【setup.dll安装库】) G$ P0 ]3 z6 g
它的行为很简单,就是启动daemc.exe罢了
: D6 P5 f3 w/ v【daemc.exe】
8 ^4 S5 f8 z; Y, E% ]; k0 G: M这个文件才是真正的“安装库”!昨天我也提出疑问,它“看似无害”,实际上,有害得很!# m4 ^4 p7 h/ V! H/ C# a
病毒作者为了避免被群众使用ida围观这个文件里赤裸裸的文件名而直接破坏他的心血,特地使用了ASCII字符编码格式来保存文件名数据,这样文件名就可以写成一个数组形式,如“data1.dat”转为ASCII再HEX化则得到0x64,0x61,0x74,0x61,0x31,0x2e,0x64,0x61,0x74,这样的数据在ida里是被作为一串位移和加法显示的,例如之前我没仔细看的这一段:
9 }7 f; Q4 l. U4 ^9 \! D8 fADD R1, SP, #0x99C+var_940
7 Y: w3 M) P' bADD R0, SP, #0x99C+var_830
$ N5 Y i; j+ ~BL wcscpy x1 Z5 z7 D7 ]4 {# v. |' d
ADD R1, SP, #0x99C+var_918
1 `6 [# s+ h5 a1 aADD R0, SP, #0x99C+var_8301 b+ f5 |" J* @7 P2 i' O
BL wcscat
" c4 g7 }7 W- V6 F) r1 T5 \MOV R2, #0
2 E W' z4 [4 u+ k, ^$ k8 XADD R1, SP, #0x99C+var_8305 j/ b# R2 [% d
ADD R0, SP, #0x99C+var_6301 t' o# u$ o7 B2 v% P
BL CopyFileW
3 L2 g0 c* ~! x1 y: B% q! F! W J4 ~' \& m
很明显是用相加的形式将HEX化的字符串还原出来再拼凑出最终的文件名然后复制过去,最后启动TAPI.exe(data1.dat),然后daemc.exe完成任务自杀了。
: E4 }2 n6 }7 }6 \7 I. |文件对应关系:1 E+ J$ F- z# L
! q2 E6 E9 g, `) s 9 Y# l- X$ Y9 h# f+ ?, Z& y
【tapi.exe】" B: K% T/ Q' b+ h7 G
对应的文件名是data1.dat,具体作用我昨天已经提到了,自己去看吧。
: } V9 `* e) b( O0 [! K它并非从启动目录里启动的,而是通过注册表的init项目。% Q( E2 @2 I; H
tapi.exe负责启动prog1和prog2,并发送注册收费服务短信,所以这是木马的首脑存在。5 x5 ~. r, [& }# z+ Q
【msgr.dll】3 w9 i6 a$ Z' R' }. a
短信过滤库,原文件是data2.dat) [! C3 `: m3 X4 b/ a+ _( H7 ^( Q
8 S! \8 Q9 S! ]; m0 `【prog1.exe和prog2.exe】4 t/ a/ I7 S1 d; f8 K
分别对应data3和data4,两个NETCF编写的网络访问器,大量刷百度和Google页面,会给机主带来很多网络流量
' S7 W5 V* N) q# a! N: a- t【可能产生的其他文件】# Q g/ \7 o' e: Q2 V/ [, S7 s4 ?0 s
因为在tapi.exe里看到有一个cmk.exe,但是运行中未见其出现,所以不知道是不是在访问了那个页面后下载的,如果有的话也要清理掉。 |
|
|Archiver|手机版|小黑屋|吹友吧
( 京ICP备05078561号 )
狗仔卡
发表于 2009-9-4 09:25
提升卡
变色卡
显身卡