凝逸反毒.修复NET.EXE感染的EXE+病毒分析

感染引擎: 修复NET.EXE病毒
引擎作者: 凝逸
  病毒名: Win32.Downloader.af,NET.EXE病毒,AVP.EXE的变种,Backdoor.Win32.Prorat.19
    功能: 修复NET.EXE感染的EXE,有一些感染坏了,就修复不了!
    防御: 防御感染NET.EXE
样本提供: 凄凉山谷的风,还有一个中奖用户(忘了)
参于试马: 凝逸反毒_测评组:风华沉淀
                 (谢谢)


修复方法:
   [系统]
       ->进程
          把NET.EXE 暂停在结束
[专杀]
      ->修复NET.EXE
          先点[防御]可不让NET.EXE 运行
          再 修复所有exe

[扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了

从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
[扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---

凝逸实验室.凝逸反毒
主页: http://hi.baidu.com/503165656
下载: http://ccc0.111n.com
      http://202.a.gg
BBS:  http://nyav.uu1001.com/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)





http://baike.360.cn/3240965/4631827.html
http://hi.baidu.com/503165656/blog/item/5a31b28f9dc724ff513d9207.html
==========================================





=================病毒分析=========================
一、病毒标签：  
病毒名称：Backdoor.Win32.Prorat.19
病毒类型：后门
危害等级：高
文件长度：350764字节
感染系统：Win9x以上所有版本
开发工具：VC++6.0
加壳类型：UPX


二、病毒描述：   
  　　运行Backdoor.Win32.Prorat.19.exe后，病毒会把自己拷贝到％WINDIR％下命名为services.exe，

复制另一份到％system％目录下从命名为fservice.exe，另外在％system％目录下还会释放出net.exe和

net1.exe，还会释放出reginv.dll和winkey.dll。然后把自己修改注册表使自己启动。接着创建

fservice.exe进程后，还会在当前目录下释放出Backdoor.Win32.Prorat.19.bat删除样本自身，做完这些

后，病毒第一运行结束，退出。fservice.exe是一个过渡进程，它将在创建services.exe进程后退出，

services.exe会创建net.exe进程，net.exe在创建net1.exe进程后退出，net1.exe测试当前网络状态后退

出。Reginv.dll能隐藏自己修改的注册表项与注册表启动项，winkey.dll是ring3级的键盘记录器，它能

记下用户所有键盘记录，主进程是services.exe。它会打开本地5112、51100、5110端口等待被连接。

C:\WINDOWS\net.exe
C:\WINDOWS\system32\net.exe
C:\net.exe
d:\net.exe
e:\net.exe

C:\WINDOWS\net1.exe
C:\WINDOWS\system32\net1.exe
C:\net1.exe
d:\net1.exe
e:\net1.exe

三、行为分析：   
  1、该病毒将自身释放到％WINDIR％目录下重命名为services.exe，同时释放net.exe、net1.exe、

reginv.dll、winkey.dll到％system％目录下。


2、将自身添加到注册表中保证自己被启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run
增加键：DirectX For Microsoft?Windows 键值C:\WINDOWS\
system32\fservice.exe

修改其他的注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
增加键：Shell　 键值：Explorer.exe C:\WINDOWS\system32\fservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
增加键：StubPath　键值：C:\WINDOWS\system\sservice.exe


3、 打开本地端口等待被连接


很多被绑架了的进程，而且调用的是%windir%\system32\net.exe，显然是病毒将原来的系统文件替换掉

了，同目录下还有个net1.exe，

谢谢楼主，试一试好不好用。

支持原创！