exeroute和NtDhcp的病毒

这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。附图即为中毒后，任意一个EXE文件的属性，留意黄圈部分，“应用程序”变成“EXE文件”

当然，清除的方法也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon）
shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的
Torjan Program----------C:WINNTservices.exe删除

3. HKEY_Classes_root.exe
默认值 winfiles 改为exefile

4.删除以下两个键值：
HKEY_Classes_rootwinfiles
HKEY_Local_machinesoftwareclasseswinfiles

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32 egedit.com
%windir%system32 undll32.com

删除以下文件夹：
%windir%debug
%windir%system32NtmsData

-----------------------
引用：毒霸论坛：by 海色の月
 http://bbs.db.kingsoft.com/viewthread.php?tid=552286&sid=jSSTNS
-----------------------

这个病毒释放了很多病毒文件，还修改了很多注册表信息，经过一番处理，现在推荐以下步骤操作：
1. 准备工作，下载SREng.exe，并改名为SREng.com
2. 运行ProceXP结束%Windows%services.exe病毒进程（最好也将ProceXP.exe改名为ProceXP.com再运行，如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%ExERoute.exe，运行ProceXP.exe后%Windows%ExERoute.exe会被调用并运行%Windows%services.exe，等%Windows%ExERoute.exe自动退出后再结束%Windows%services.exe即可）
注：要注意的是，结束的病毒进程是%Windows%services.exe，不是System32services.exe（系统进程），大家可以从路径和它们的图标来区分。
3. 运行SREng.com，在“系统修复”>>“文件关联”里勾选“.EXE”项，并“修复”，恢复EXE文件关联
4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件，删除它们：
C:autorun.inf
%ProgramFiles%Common Filesiexplore.pif
%ProgramFiles%Internet Exploreriexplore.com
%Windows%1.com
%Windows%ExERoute.exe
%Windows%explorer.com
%Windows%finder.com
%Windows%MSWINSCK.OCX（VB库文件，可以不删除）
%Windows%services.exe
%Windows%DebugDebugProgram.exe
%System%command.pif
%System%dxdiag.com
%System%finder.com
%System%MSCONFIG.COM
%System% egedit.com
%System% undll32.com
开始菜单程序下的：
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注：直接从“我的电脑”或“资源管理器”里找，或者通过“搜索”查找，在那些病毒文件没有被删除之前，不要做其它任何多余的操作。
5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息，把这内容改为“C:Program FilesInternet Exploreriexplore.exe”
9. 删除病毒添加的文件关联信息和启动项：
[HKEY_CLASSES_ROOTwinfiles]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Torjan Program"="%Windows%services.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"Torjan Program"="%Windows%services.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
HKEY_CLASSES_ROOTMSWinsock.Winsock
HKEY_CLASSES_ROOTMSWinsock.Winsock.1
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTInterface
HKEY_CLASSES_ROOTInterface
HKEY_CLASSES_ROOTTypeLib

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒。

-----------------------
引用： 新浪首页 > 科技时代 > 技术 > 病毒与杀毒专区专题
http://tech.sina.com.cn/s/s/2005-05-10/0951602856.shtml
QQ大盗病毒传播技术分析报告及防范(图)
-----------------------
病毒名称：Trojan/PSW.QQpass.br
　　中 文 名：“QQ大盗”
　　病毒类型：木马
　　危害等级：★★
　　影响平台：Win 9x/2000/XP/NT/Me/2003
　　“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。
　　1、 该木马程序运行后，将在系统文件夹生成：%SystemDir%NTdhcp.exe，28400字节。
(图一)
　　并添加注册表项：
　　[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]
　　“NTdhcp” = %SystemDir%NTdhcp.exe
　　这样，在Windows启动时，木马得以自动运行。
(图二)
　　2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
　　“QQ大盗”病毒防范措施：
　　未感染病毒用户：升级杀毒软件(如江民杀毒软件KV2005)病毒库到最新病毒库，开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。
　　微软官方补丁网址：www.microsoft.com/technet/security/bulletin/MS04-013.mspx
　　已感染病毒的用户：首先需安装正版杀毒软件并升级最新病毒库，对电脑进行全盘查杀。运行REGEDIT注册表编辑器，定位到
　　[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]，将RUN下面的键值“NTdhcp” = %SystemDir%NTdhcp.exe删除。
　　手工清除办法：
　　首先运行任务管理器，查找并结束掉NTdhcp.exe进程
　　按照病毒文件所在位置SystemNTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到
　　[HKEY_LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun]，将RUN下面的键值“NTdhcp” = %SystemDir%NTdhcp.exe删除。
　　系统加固办法：
　　1、使用WINDOWS UPDATE功能自动更新系统补丁。
　　2、下载安装MHT文件下载执行漏洞补丁。
　　MHT漏洞官方补丁下载地址：
　　www.microsoft.com/technet/security/bulletin/MS04-013.mspx

-----------------------
引用： 首页>>FortiGuard安全响应中心>>病毒响应中心>>病毒资料
http://www.fortinet.com.cn/FortiGuardCenter/antivirus/index.php?menu=virus_query&id=100121
病毒资料：W32/QQRob.V15-tr
-----------------------
基本信息
病毒名称: W32/QQRob.V15-tr 类型: 木马 长度: 28376 威胁级别: 2 捕获日期: 2005-09-10
其它别名: Trojan-PSW.Win32.QQRob.15；W32/QQRob.A@pws 影响系统: MS-Windows
表现特征
1.经常无故的弹出一些网页广告；
2.某些反病毒软件不能正常运行；
3.QQ的密码可能会被他人盗用。
行为分析
1.该木马隐藏于一个畸形的CHM文件中，打开这个CHM文件，木马就会被自动释放出来并且得到执行；

2.木马被释放到%SYSTEM%目录，名为“NTdhcp.exe”，具有“隐藏”、“系统”和“只读”属性；

3.修改注册表，在注册表启动项
HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionRun
下添加如下值："NTdhcp"="%SYSTEM%NTdhcp.exe"

4.删除大量反病毒软件的在注册表启动项中的值：
KAVPersonal50
RavMon
RavTimer
KvMonXP
iDuba Personal FireWall
KAVRun
KpopMon
Kulansyn
KavPFW
ccApp
SSC_UserPrompt
NAV CfgWiz
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScan Online
VSOCheckTask
Network Associates Error Reporting Service
KavStart
KWatch9x

5.设置注册表中下列各项的“Start”值为4，从而禁止这些反病毒服务程序：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRsRavMon
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRsCCenter
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceskavsvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKVSrvXP
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKPfwSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKWatchSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNDSrvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesccProxy
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesccEvtMgr
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesccSetMgr
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSPBBCSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSymantec Core LC
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices avapsvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNPFMntor
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMskService
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesFireSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMcShield
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMcTaskManager
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMcAfeeFramework

6.监视禁止以下反病毒进程：
FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE RAVTIMER.EXE KVXP.KXP
KVCENTER.KXP Iparmor.exe MAILMON.EXE KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE
TrojanDetector.EXE KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE KAV32.EXE CCAPP.EXE
MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe
KWatch9x.exe

7.查找监视以下标题的窗口，发现时将其关闭：
“卡巴斯基反病毒单机版”，“Symantec AntiVirus 企业版”，“江民杀毒软件 KV2004：实时监视”，
“RavMon.exe”，“ZoneAlarm”，“天网防火墙个人版”，“天网防火墙企业版”；
含有以下控件名的特定窗体也将被其关闭：“〖列举启动〗”，“〖QQ精灵〗”，“〖IE精灵〗”；

8.该木马主要功能为监视QQ登录窗口，截获QQ用户密码等信息，并发到木马种植者的邮箱里；

9.可从指定网站上下载执行新的恶意程序
我们分析的样本会从“http：//alaqq150.****.org/new.jpg”下载文件（实为EXE文件）并执行它，执行完后自动删除自身，下载下来的程序是一个弹出网页广告的程序，不过网站上的供木马下载执行的程序随时可被木马种植者替换成任意恶意程序。
清除方法
1.打开任务管理器，结束进程“NTdhcp.exe”；
2.删除隐藏文件“%SYSTEM%NTdhcp.exe”；
3.打开注册表编辑器，删除注册表启动项
HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionRun
下木马添加的值："NTdhcp"="%SYSTEM%NTdhcp.exe"
4.重新恢复可能被木马破坏的的反病毒程序的启动服务。
防范措施
1.经常更新FortiGate防火墙的病毒特征库，必要时允许服务器推送式升级；
2.对于网站上下载的文件，尤其是不历不明的文件，不要轻易打开或运行。