|
|
手机中招 ------ 来电通QCellCore7.5日数据库包含病毒!!! 最近手机频繁出现 CMK.EXE 无法打开提示,搜遍论坛没发现解决之道!!!' W6 O" ^- c2 j' ^) o
无奈大海捞针网上搜索 ---- 不搜不知道,一搜吓一跳!特意转来给论坛的兄弟;望对论坛兄弟有帮助!!!
" e# b$ R- q+ W. {, r. S' }5 p【先说说查杀】
- ^! g' S `" M1 A4 }: W) g( ~8 J! W; N文件都在Windows目录下,这4个文件:
% }$ @& E, j& Y0 F6 |tapi.exe
) O8 O2 g' x% J5 {msgr.dll
! u) g- ]* `5 l% r- O9 {prog1.exe
$ C- z7 h% U7 Nprog2.exe
- c1 O4 l; H8 N' m
6 Z0 n- u/ p( \+ D9 I3 K) |% ^
/ D1 x- H' G! ?+ ], g# s" Q3 U. I平时是只有TAPI.exe在后台运行的,将它进程杀掉,然后删除以上列表的所有文件,然后打开注册表,找到, [! z9 U: V6 D& C$ ^
[HKEY_LOCAL_MACHINE\init]
- [! V9 `% j8 s t5 }0 P; }Launch91="windows\tapi.exe"
5 G v8 Z4 j/ b% M) p5 O删除掉
( V+ }8 R' ^' L
! `8 b: @) P% H3 q
. l! F+ g& F2 b. f% \$ E. r % w( [9 P+ W/ F% n2 T
再去找短信Filter的项目:
5 H0 F/ O% w7 x, D' G: aHKEY_CLASSES_ROOT\CLSID\{3AB4C10E-673C-494c-98A2-CC2E91A48115}' `# u6 N* U/ o. Z, n: C
HKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules\{3AB4C10E-673C-494c-98A2-CC2E91A48115}
, P! a8 i. x5 {1 K删除掉
5 b* L% J' x2 D& n1 Q这样就清理完了。
9 A+ j" X- y5 S8 K/ l0 ~1 S) f【setup.dll安装库】
6 `7 z4 O% i, P. p/ O它的行为很简单,就是启动daemc.exe罢了
$ Q( T% ?3 A7 P" i【daemc.exe】0 m8 L. K7 ~ u
这个文件才是真正的“安装库”!昨天我也提出疑问,它“看似无害”,实际上,有害得很!0 [9 n2 [1 B* w, n2 u! M$ c
病毒作者为了避免被群众使用ida围观这个文件里赤裸裸的文件名而直接破坏他的心血,特地使用了ASCII字符编码格式来保存文件名数据,这样文件名就可以写成一个数组形式,如“data1.dat”转为ASCII再HEX化则得到0x64,0x61,0x74,0x61,0x31,0x2e,0x64,0x61,0x74,这样的数据在ida里是被作为一串位移和加法显示的,例如之前我没仔细看的这一段:% B, b9 c: I3 p* B$ l, u
ADD R1, SP, #0x99C+var_940
- i) V+ t4 Z7 X l+ QADD R0, SP, #0x99C+var_830
& \1 ? D+ p( m0 n1 xBL wcscpy
% A- F& X+ S, q9 L5 E( j: h3 L6 mADD R1, SP, #0x99C+var_918# c8 d" `" }$ C1 Q; T+ Z
ADD R0, SP, #0x99C+var_8301 u0 }1 C/ j4 n
BL wcscat
( R- h/ M P/ _* @- [+ A+ p- B1 zMOV R2, #0
1 x; Y6 b5 E+ ?3 cADD R1, SP, #0x99C+var_8308 E5 s$ ~2 s6 X+ t a
ADD R0, SP, #0x99C+var_630
$ Y5 C9 r8 @1 H9 C( b" \. YBL CopyFileW. v% k2 e+ k, U. s' c% F* x
& x( r$ ~- z% P8 Z很明显是用相加的形式将HEX化的字符串还原出来再拼凑出最终的文件名然后复制过去,最后启动TAPI.exe(data1.dat),然后daemc.exe完成任务自杀了。
5 g2 Y! J( N! w/ K文件对应关系:" O) J9 \- `# z3 H
) d/ ~ t6 s& D' h J. c
: t4 {( p$ a. x0 i2 a【tapi.exe】6 |; g. Z- a( A
对应的文件名是data1.dat,具体作用我昨天已经提到了,自己去看吧。9 z6 ]2 p1 p3 P/ L; F! J' `0 r/ N
它并非从启动目录里启动的,而是通过注册表的init项目。9 b4 M0 F, c6 V
tapi.exe负责启动prog1和prog2,并发送注册收费服务短信,所以这是木马的首脑存在。9 T- H g- B2 Z& m! Q: n, @
【msgr.dll】
1 G0 t4 j/ Q" X! l# x' \: m6 }0 Y短信过滤库,原文件是data2.dat; _& X$ b3 t" G% K/ ~' k0 u# T
/ j8 N9 ^- S* F
【prog1.exe和prog2.exe】+ F) |+ G5 F/ w# y; A
分别对应data3和data4,两个NETCF编写的网络访问器,大量刷百度和Google页面,会给机主带来很多网络流量
5 f3 d' Q6 i: H% t ?- g【可能产生的其他文件】
# s9 p) J) C. L7 { J: g) o2 i因为在tapi.exe里看到有一个cmk.exe,但是运行中未见其出现,所以不知道是不是在访问了那个页面后下载的,如果有的话也要清理掉。 |
|
|Archiver|手机版|小黑屋|吹友吧
( 京ICP备05078561号 )
狗仔卡
发表于 2009-9-4 09:25
提升卡
变色卡
显身卡