复合型机器狗新变种Timplatform.exe,pcisvc.sys分析及清除

这是目前较新的复合型机器狗病毒的一个变种

File:9.exe
Size: 11938 bytes
Modified: 2008年2月19日, 9:07:12
MD5: F5B757796A08718A70A9422C05615E29
SHA1: 285C37B1762B3256764530EA384282FE1F18BE4C
CRC32: 825746A3

1.病毒初始化，注册服务iCafe Update
服务相关信息
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\Start: 0x00000003
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\ImagePath: "\??\%system32%\system32\drivers\pcisvc.sys"
HKLM\SYSTEM\ControlSet001\Services\iCafe Update\DisplayName: "iCafe Update"

释放%system32%\system32\drivers\pcisvc.sys （机器狗驱动）并替换userinit.exe文件

2.释放%system32%\system32\netsrv.dll挂钩WH_GETMESSAGE函数
可能会监控如下dll的加载，并使用cmd.exe /c ren "%s" "%s"的命令将他们重命名为tmp%d.temp的形式
KvTrust.dll
UrlGuard.dll
antispy.dll
safemon.dll
ieprot.dll

3.同时释放%system32%\system32\TIMPlatform.exe
该文件起到的是下载作用，会在%system32%目录下写入一个BOLE.INI的文件，该文件记录该病毒的版本和病毒下载列表的地址

同时可以检查病毒的最新版本下载：http://test.*.c0m/test.exe到c:\Update.exe

此次发现的病毒版本为VERSION=2008-2-3
病毒下载列表的地址为http://50.*.com/ri2.txt

4.以TAIL_ANTI的参数启动一个IE,但目的不明

5.TIMPlatform.exe以TAIL_JPG的参数启动IE读取BOLE.INI的配置文件下载病毒下载列表

并读取里面的下载地址下载木马
http://15.*.com/new/1.exe~http://*/new/18.exe
http://71.*.com/new/19.exe~http://11.*.com/new/30.exe

解决方法：
下载sreng:http://www.skycn.com/soft/23312.html#download

重启计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统盘
删除如下文件
%system32%\system32\drivers\pcisvc.sys
%system32%\system32\netsrv.dll
%system32%\system32\TIMPlatform.exe
%system32%\system32\BOLE.INI

2.打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
iCafe Update

3.替换userinit.exe
从其他相同系统版本的机器中拷贝一个userinit.exe复制到%system32%\system32\下面覆盖同名文件
如果不能覆盖 打开任务管理器 结束userinit.exe

userinit.exe 下载

4.使用杀毒软件或者手工方法清除其他木马和病毒