HaHa Foto病毒_介紹、處理帖

HaHa Foto病毒_介紹、處理帖 (整理自各大論壇、FB,底下有處理方法...)
最近~HaHa Foto病毒很猖獗 ((?
已知症狀:
FB、MSN、即時通,自動貼文傳播,讓更多人中毒。
無法開啟工作管理員
關閉Win自動更新功能


他應該會給你一個網址長這個樣子...
一開始第一個版本是這樣...
http://goo.gl/spv7d --> http://www.mediafire.com/?529p44wz5yjyop7
這個連結會下載到一個病毒壓縮檔
Picture19.JPG.zip

這壓縮檔裡有一個檔案
Picture19.JPG_www.facebook.com

很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...

在你的電腦中創建了一個檔案...路徑如下
%Windir%\mdm.exe // C:\Windows\mdm.exe


修改了服務項目...
%System%\svchost.exe -k netsvcs // 自動更新關閉

登錄檔...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"

其程序的對外連結
對外連結:74.208.127.48:5050

--------------------------------------------------------------------------------------------------------------------
這是變種過的第二版本的樣子...
 http://bit.ly/zTB3a3?Facebook.com-IMG6326607.JPG
---這是縮短過的---↓
http://dl.dropbox.com/u/64559045/Picture24.JPG.zip?1185818866
這個連結會下載到一個病毒壓縮檔
Picture24.JPG.zip

這壓縮檔裡有一個檔案
Picture24.JPG_www.facebook.com

很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...
%Windir%\mdm.exe // C:\Windows\mdm.exe
%Windir%\Temp\42381.exe // C:\Windows\Temp\42381.exe
%Windir%\dlwt.exe // C:\Windows\dlwt.exe

登錄檔...

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine


其程序的對外連結
對外連結:217.160.92.16   需要登入   國別:德國

基本上這個病毒作者的ASM應該很強 =口=?
特徵馬(免殺)處理得很好,至少目前沒有防毒偵測的到他...
其中調用的方式也很強大...
單一Handle就控制了MSN和即時通
控制FB適用Java...請看
http://coderrr.wordpress.com/2008/05/06/facebook-chat-api/ 
http://www.skamid.com/technology/beware-facebook-auto-chat-virus/
http://www.webtlk.com/2010/11/30/can-i-turn-on-facebook-chat-auto-reply/
基本上除了進程保護做得稍弱(未深入Ring3以下)其他都頗強大XD
傳播速度(感染力)也夠...

其他其他類似相關病毒請參考這篇...
http://tw.knowledge.yahoo.com/question/question?qid=1306022102067


解毒腳本:

  1. @echo off
  2. title HAHAFOTO解毒腳本 - Made By Inndy
  3. color 0e
  4. echo 感謝 HackStuff的a0973302798提供此病毒初步分析
  5. echo 如果病毒有後續動作可能無法有效處理...
  6. echo 按下任意按鍵開始解毒...
  7. pause>nul
  8. echo 終止病毒程序...
  9. taskkill /f /im mdm.exe
  10. echo 刪除自動啟動病毒...
  11. reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Firevall Engine" /f
  12. reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Firevall Engine" /f
  13. echo 刪除病毒執行檔案...
  14. del %UserProfile%\dlwt.exe > nul
  15. del %Windir%\Temp\42381.exe > nul
  16. del %windir%\mdm.exe > nul
  17. ping 127.0.0.1 -n 2 > nul
  18. cls
  19. :Ask
  20. set /p "EnableAU=請問是否啟動Windows自動更新? (Y/N)"
  21. if /i "%EnableAU%"=="y" goto EnableAU
  22. if /i "%EnableAU%"=="n" goto End
  23. goto Ask

  24. :EnableAU
  25. net start wuauserv

  26. :End
  27. cls
  28. echo 解毒完畢...感謝您的使用
  29. echo 按下任意按鍵離開
或者是使用清理程式...
https://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnx6b25namloZXxneDo0ZGExOGQ2NWJiYjg0Yjc2

請注意...請避免點擊此類網址...並避免開啟不明檔案

留言

  1. 請問一下 如果我不小心點到連結而且下載了檔案 但是我沒有解壓縮這個檔案 就直接刪除了 這樣會中毒嗎??

    回覆刪除
    回覆
    1. 未執行.com檔案就不會中毒...

      刪除
    2. 謝謝版主的回答 也謝謝樓下的那位

      刪除
    3. 事實上有 網路你只要進去那網頁都會留下瀏覽data圖片的很多都會留下data若那張照片有毒那妳的data裡面就有毒了你就中獎了 解決方法:查清楚是甚麼檔名用防毒刪掉就ok了

      刪除
    4. 基本上...圖檔這種東西是很少有毒的...
      除非病毒作者在圖片PE頭上下功夫...

      刪除
  2. 請問一下,您是如何了解這個病毒檔的內容的,是用了什麼軟體或工具嗎,只是純粹想了解!

    回覆刪除
    回覆
    1. 虛擬機(Virtualbox)或沙盒(Sandbox)
      虛擬機的話要搭配一些工具取得他進行的動作
      沙河本身應該就有紀錄...

      刪除
  3. batch裏少了幾行,有些機器會清不乾淨
    attrib -h -s -r %windir%\mdm.exe
    另外,小雨傘已經可以抓到這支了

    Luc.

    回覆刪除
  4. 大大您好,請問使用最後一一段那可程式就可以把讀清掉了?

    謝謝您!

    回覆刪除
    回覆
    1. 將那段複製下來存成.bat檔
      如果不會可以直接下載程式...

      刪除

張貼留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

楓之谷洋蔥4.1.2 - 最後更新日期04/03