作者:清新阳光                                                            ( [url]http://hi.baidu.com/newcenturysun[/url] )
日期:2007/10/28                                                         (转载请保留此申明)

样本来自卡饭,此病毒即原先分析过的sbl.exe系列的变种

File: AnHao.exe
Size: 35840 bytes
File Version: 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
Modified: 2007年10月28日, 12:34:23
MD5: 53E349555372ADE49D4FF6C195DCEF5C
SHA1: E11B37AF59B6D4B5C64BB0DB600B7AC51D3F3226
CRC32: 1E49FEA3

技术细节:
1、释放病毒副本:
%systemroot%\system32\1.inf
%systemroot%\system32\forget.dll
%systemroot%\system32\snowfall.exe

检测各个分区根目录下是否有autorun.inf的文件或者文件夹,如果有则将其改名为AnHao
然后在各个分区释放autorun.inf和snow.exe达到通过U盘传播的目的
并每隔9s检测是否存在,如不存在,则重写

%systemroot%\system32\1.inf与autorun.inf内容相同

2.调用cmd.exe 执行cmd.exe /c net stop sharedaccess的命令 关闭Windows自带的防火墙

3.调用TerminateProcess函数关闭如下进程
360safe.exe
360tray.exe

4.提升自身权限,关闭avp.exe的句柄

5.调用FindWindowTextA函数查找窗口标题,并通过PostMessageA函数发送WM_CLOSE,WM_DESTROY,WM_QUIT的消息关闭带有如下字样的窗口

防火墙
任务管理器
***清道夫
***克星
×××
主线程
NOD32核心
微点
安全卫士
***杀客
NOD32 内核
杀毒
江民
金山

6.在HKLM\software\microsoft\windows NT\currentversion\p_w_picpath file execution options下面添加项目映像劫持以下杀毒软件和安全工具

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe

7.调用CreateProcess打开进程%systemroot%\system32\spoolsv.exe,把%systemroot%\system32\forget.dll注入到spoolsv.exe中,并调用

urlmon.dll实现下载功能

下载 [url]http://www.hackceo.com/ts.jif[/url] 到c:\a.exe
下载hxxp://www.hackceo.com/ts.jpg到c:\b.exe
[url]http://www.hackceo.com/ts.rar[/url] 到c:\c.exe
但下载链接均已失效,无法判断是什么病毒...

8.病毒体内有字样“mylovegirlsbl”

解决办法:
下载冰刃:
[url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip[/url]
sreng:
[url]http://download.kztechs.com/files/sreng2.zip[/url]

1.解压缩冰刃
把冰刃的Icesword.exe改名为1.com
切换到进程一栏 找到%systemroot%\system32\snowfall.exe
右键 结束进程

Snap1.jpg (107.29 KB)

2007-10-28 18:12

2.(还是在冰刃中)点击左下角的文件按钮
找到如下文件 删除之
%systemroot%\system32\1.inf
%systemroot%\system32\forget.dll
%systemroot%\system32\snowfall.exe并删除各个分区下面的snow.exe和autorun.inf(不要忘记)3.把sreng.exe改名为2.com,运行
启动项目 注册表
删除所有红色的IFEO映像劫持项目

Snap2.jpg (110.25 KB)

2007-10-28 18:12

PS:从拿到第一个版本的sbl到现在这个版本,病毒作者逐渐添加了各种功能,从关闭窗口到现在流行的映像劫持,同时也发现了作者的一些内心情感变化,从先前的“lovesbl”的“表白”,到“dream”,再到现在的“forget”,是不是表明这段感情该结束了呢?希望随着这段感情的结束,作者对于病毒的更新也尽快结束吧!

转载于:https://blog.51cto.com/yuncx/48146

梦中情人sbl新变种snow.exe,snowfall.exe的分析相关推荐

  1. 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)

    endurer 原创 2006-07-20 第1版 昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw.Trojan.PSW.Zhen ...

  2. GlobeImposter勒索病毒新变种C4H东山再起

    0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步.近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为 ...

  3. 解决几个病毒,wowexec.tmp,MediaSups.exe,Rpcd.exe,RpcS.exe,sysdrv.dll等

    病毒1 : "wowexec.tmp,MediaSups.exe"难为了一会儿,不过后来就找到了金山的专杀工具(管用哦,可以恢复由病毒破坏的EXE文件),就是"科多兽&q ...

  4. c0nima.exe,systemKb.sys,mppds.exe,c0nime.exe这些都是病毒产生的文件

    从昨天晚上开始,我的机子就中病毒了,这个病毒总体说来还是不叫仁慈的,没有什么破坏(对我而已),只是把我的瑞星监控给停止了,以及静音!其他的就是在c:/winnt下生成几个文件,下面是我求救时写的文章: ...

  5. Alexa新变种,进程中有很多iexplorer进程

    这是这几天才出来的变种,网上基本没有这个变种的信息, 这个变种最大的隐蔽之处是把它自己的病毒exe文件和服务都写成了微软公司的软件,在辨别的一开始被它骗过去了. 症状是windows/system32 ...

  6. 勒索软件BlackByte出现新变种,系Go语言编写

    BlackByte 是一个提供勒索软件即服务(RaaS)的攻击组织,自从 2021 年 7 月以来一直保持活跃.最初,BlackByte 使用 C# 开发,最近攻击者使用 Go 重写了恶意软件.FBI ...

  7. svcagent32.exe,javaM.exe木马查杀解决方案 (转Ad0.cn)

    svcagent32.exe,javaM.exe木马查杀解决方案(Ad0.cn原创) svcagent32.exe, svcupdate.exe木马查杀方案(病毒清除)! svcagent32木马特征 ...

  8. 使用instsrv.exe+srvany.exe将应用程序安装为windows服务

    一.什么是instsrv.exe和srvany.exe instsrv.exe.exe和srvany.exe是Microsoft Windows Resource Kits工具集中 的两个实用工具,这 ...

  9. 国家计算机病毒中心发现“网游大盗”新变种

    国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现"网游大盗"新变种TrojanPSW.OnlineGames.LK,它是一个盗号木马程序,专门盗取网络游戏玩家的游戏账号. ...

最新文章

  1. 常用的Linux命令,日常收集记录
  2. 初探swift语言的学习笔记八(保留了许多OC的实现)
  3. Unity Api集合
  4. java会被rust替代吗_Rust 未来会成为主流的编程语言吗?
  5. MQTT服务器搭建和测试步骤及遇见的问题
  6. findViewById报空指针异常
  7. 高德地图联手中国气象局,积水地图 AI 版实时预测道路积水
  8. 发送的消息无法订阅_微信服务号和订阅号的如何选择
  9. java一个简单的管理系统
  10. 企业数据架构和集成架构规划方案(PPT)
  11. IntelliJ IDEA2021.1中英文菜单对照
  12. matlab中opc没有注册类,电脑中出现没有注册类别的错误提示的多种解决方法
  13. 面向对象程序设计实验——编写Rational类
  14. 开一间蜜雪冰城能挣多少钱?
  15. 安装fcitx五笔拼音
  16. 薅羊毛!企业微信自动加好友工具免费使用机会!
  17. BAPI_PO_CREATE1--单价增大10倍问题
  18. 误删Windows账户恢复方案
  19. 不用群发,就可以查看你被哪些微信好友删除了
  20. 美团人的写作基本功是如何练成的

热门文章

  1. EditPlus格式化xml
  2. 齐岳|马铃薯凝集素修饰PLGA纳米粒|利福平PLGA纳米粒|齐墩果酸/乳酸羟基乙酸共聚物-水溶性维生素E衍生物(PLGA-TPGS)纳米粒
  3. esp8266接7735_ESP8266 TFT(ST7735)彩屏-web刷图
  4. ValueError: No JSON object could be decoded 成功解决
  5. Mifare UltraLight 卡存储结构
  6. ISO8583包简介和源代码
  7. quasar使用keep alive警告 Component inside <Transition> renders non-element root node
  8. pta 7-10 古风排版 (20 分)
  9. 【编程实践】编程语言之 R 语言
  10. 刷手机流量,反正浪费就完事了