http://bbs.bitscn.com/158945
文件来源:
FlashGet安装包
来源:FlashGet官方网站
www.flashget.com.cn
文件名:flashget196cn.exe
长度:4,520,496 字节
版本号:1.9.6.1073
测试环境
OS:
XP SP2-2600
文件名:
C:/PROGRAM FILES/FLASHGET/INAPP6.EXE
长度:
42,496 byte
CRC32:
329C08C6
摘要:
INAPP6.EXE强行感染系统文件sens.dll(sens.dll是系统事件提醒服务相关库文件),然后去下载流氓软件gdim32.dll程序
程序行为:
1、程序被执行后,查找%systemroot%/system32目录下ms*as.dll;
2、为自身进程添加SeDebugPrivilege、SeLoadDriverPrivileg、SeShutdownPrivilege、SeTcbPrivilege等特权令牌(其实SeDebugPrivilege就可以了),判断操作系统板本将sfc_os.dll载入,获取到sfc_os.dll导出的2#函数(SfcTerminateWatcherThread此函数为微软未公开),打开进程winlogon.exe创建远程线程,将系统文件保护功能线程终止;
3、多余代码:通过调用动态库sfc_os.dll的5号 API函数(SfcFileException),实现对单一文件禁止Windows自动恢复系统文件的功能(此处代码并未调用,怀疑为抄袭)
4、之后修改%System32%\sens.dll文件,修改数据如下图1\图2\图3所示,动作如下;
尝试删除%systemroot%\system32\sensdat.dll,将%systemroot%\system32\sens.dll改名为sensdat.dll,将%systemroot%\system32\sensdat.dll拷贝为sens.dll,通过API函数WriteFile生成sens.dll,完成修改sens.dll的任务;在%SystemRoot%\system32\目录下释放动态库msasno.dll;在目录%SystemRoot%\system32\下,拷贝msasn1.dll为msuas.dll;将rundll32 msasno.dll in111432作为API函数CreateProcessA的参数启动msasno.dll,msasno.dll主要完成下载任务。通过批处理将病毒原文件删除。
图1
此处代码:
722612C7
. /E9 616F0000
jmp sens.7226822D
在该dll未加载之前执行地址7226822D的恶意代码
图2
此处代码:
72268232 $ 58 pop eax
72268233 . 50 push eax
72268234 . 60 pushad
72268235 . B9 5723DE0A mov ecx,0ADE2357
7226823A . 68 6411DE0A push 0ADE1164
7226823F . 310C24 xor dword ptr ss:[esp],ecx
72268242 . 68 3047B767 push 67B74730
72268247 . 310C24 xor dword ptr ss:[esp],ecx
7226824A . 54 push esp
7226824B . 05 D68EFFFF add eax,FFFF8ED6
72268250 . 8B18 mov ebx,dword ptr ds:[eax]
72268252 . FFD3 call ebx ; kernel32.LoadLibraryA
72268254 . 58 pop eax
72268255 . 5B pop ebx
72268256 . 61 popad
72268257 . 58 pop eax
72268258 . 05 7E8EFFFF add eax,FFFF8E7E
7226825D . 8B18 mov ebx,dword ptr ds:[eax]
7226825F . FFD3 call ebx
72268261 .^ E9 6790FFFF jmp sens111.722612CD
以上恶意代码被执行后预读入动态库字串gdim32解密出,通过LoadLibraryA对gdim32.dll进行加载,跳转到地址722612CD执行sens.dll正常代码。
通过网络搜索gdim32.dll为一个中招后很难卸载的恶意广告程序,究竟是flashget自己为谋利下载安装还是其他原因,期待正解。Gdim32.dll反响如图所示:
引用:http://bbs.duba.net/view
thread.php?action=printable&tid=21882976
“
标题: [求助] 怎么删除这个病毒 [打印本页]
作者: lincj1moli 时间: 2008-2-3 14:48 标题: 怎么删除这个病毒
风险程序 2008-02-03 14:40:38 C:\WINDOWS\system32\gdim32.dll Win32.Adware.Agent.ms.25088 跳过,未处理
能查出这个风险程序但是选择处理了,显示还是,跳过未处理
作者: pzping 时间: 2008-2-3 15:04
你先把它放到隔离区里,等待解决
作者: lincj1moli 时间: 2008-2-3 16:08
隔离不了啊,有高手能帮帮忙么
作者: 小小小猪
时间: 2008-2-3 16:08
不会吧?应该可以隔离呀。加壳了。金山杀不了,但是可以隔离的说。
作者: 小小小猪
时间: 2008-2-3 16:10
病毒名称 Win32 WINDOWS下的PE病毒
别
名
病毒长度
危害程度
传播途径
行为类型 WINDOWS下的PE病毒
感
染
该病毒是一个WIN32 PE感染型病毒,病毒感染普通PE EXE文件并把自己的代码加到EXE文件尾部.修改原程序的入口点以指向病毒体,病毒本身没有什么危害.但被感染的文件可能被破坏不能正常运行
解决方法:安全模式下杀毒
作者: 小小小猪
时间: 2008-2-3 16:13
或许你的那个风险程序是广告了。也有可能的。
你用汉化的AVG Anti-Spyware 7.5.1.43
http://www.17ai.org/qt/avg.htm 杀杀试试
作者: long_bb818 时间: 2008-2-3 17:07 标题: 解决最佳方案
这个问题我也遇到过,我手动杀除了他。不需要用到AVG。
下载超级兔子。下载地址 http://www.skycn.com/soft/2993.html
打开超级兔子内置的任务管理器,点击里面的“模块”。
列表里面会发现很多的后缀为dll的文件,看看哪个程序是gdim32.dll,然后找到这个文件相应的程序,结束掉它。(不管是什么文件,结束了就可以)
然后再找到system32下的gdim32.dll,右键杀毒,定能删掉。
呵呵,重启系统吧,解决了!大哥不信再杀次毒阿。。。
作者: DK747 时间: 2008-2-3 17:12
支持
作者: slippy 时间: 2008-2-3 17:16
就是一流氓软件,不算毒,属于清理专家管辖的范畴
作者: ksef0252129 时间: 2008-2-3 20:13
同意”
相关代码:
程序行为二
[email=q?@2]q?@2[/email] P
.text:00403ACB loc_403ACB: ; CODE XREF: sub_403A70+46 j
.text:00403ACB ; sub_403A70+52 j
.text:00403ACB push offset LibFileName ; "sfc_os.dll"
.text:00403ACB
.text:00403AD0
.text:00403AD0 loc_403AD0: ; CODE XREF: sub_403A70+59 j
.text:00403AD0 call ds oadLibraryA
.text:00403AD0
.text:00403AD6 mov esi, eax
.text:00403AD8 test esi, esi
.text:00403ADA jnz short loc_403AE3
.text:00403ADA
.text:00403ADC pop edi
.text:00403ADD pop esi
.text:00403ADE xor al, al
.text:00403AE0 pop ebx
.text:00403AE1 pop ecx
.text:00403AE2 retn
.text:00403AE2
.text:00403AE3 ; ---------------------------------------------------------------------------
.text:00403AE3
.text:00403AE3 loc_403AE3: ; CODE XREF: sub_403A70+6A j
.text:00403AE3 push 2 ; lpProcName
.text:00403AE5 push esi ; hModule
.text:00403AE6 call ds:GetProcAddress
.text:00403AE6
.text:00403AEC mov ebx, eax
.text:00403AEE push esi ; hLibModule
.text:00403AEF test ebx, ebx
.text:00403AF1 jnz short loc_403B00
.text:00403AF1
.text:00403AF3 call ds:FreeLibrary
程序行为三
loc_403C10: ; CODE XREF: sub_403BC0+47 j
.text:00403C10 push offset LibFileName ; "sfc_os.dll"
.text:00403C15 call dsoadLibraryA
.text:00403C15
.text:00403C1B mov esi, eax
.text:00403C1D test esi, esi
.text:00403C1F jnz short loc_403C2B
.text:00403C1F
.text:00403C21
.text:00403C21 loc_403C21: ; CODE XREF: sub_403BC0+4E j
.text:00403C21 xor eax, eax
.text:00403C23 pop esi
.text:00403C24 add esp, 208h
.text:00403C2A retn
.text:00403C2A
.text:00403C2B ; ---------------------------------------------------------------------------
.text:00403C2B
.text:00403C2B loc_403C2B: ; CODE XREF: sub_403BC0+5F j
.text:00403C2B push 5 ; lpProcName
.text:00403C2D push esi ; hModule
.text:00403C2E call ds:GetProcAddress
.text:00403C2E
.text:00403C34 test eax, eax
.text:00403C36 jnz short loc_403C49
.text:00403C36
.text:00403C38 push esi ; hLibModule
.text:00403C39 call ds:FreeLibrary
.text:00403C39
.text:00403C3F xor eax, eax
.text:00403C41 pop esi
.text:00403C42 add esp, 208h
.text:00403C48 retn | 
发表于 2008-3-20 08:34
|