ridiap.exe Trojan:Win32/Agent.NAL木马删除

近来电脑的时间似乎出了点问题,一开机就年份就会变成1987年,时间和日期全都正确。觉得蹊跷,但是仍第一反应是BIOS。
断电重启后进入SETUP选项,发现BIOS时间并没有变,进入Windows后时间才变成1987年。
感觉是中了病毒,但是卡巴7、AVG却不报毒,且在网上下载了改变系统时间病毒的专杀程序,也没有用。
后来经搜索研究,确定此为木马,特征如下:

文件名称:ridiap[color=#FF0000]******[/color].exe([color=#FF0000]******[/color]为格式类似于071205的表示年月的数字,下同)
文件大小:不定(更具网上多个版本对比,发现文件大小并不确定,MD5码也不一样)
DrWeb:Trojan.Hitpop.origin
Microsoft:Trojan:Win32/Agent.NAL
Ikarus:Trojan-Spy.Win32.Agent.pn
加壳方式:Upack V0.36
编写语言:Borland Delphi
病毒类型:后门

行为分析:
1、 释放病毒副本:
C:\Windows\ie.ini
C:\Windows\system32\mcdsrv16_[color=#FF0000]******[/color].dll  
C:\Windows\system32\mcdsrv32_[color=#FF0000]******[/color].dll  
C:\Windows\system32\ridiap[color=#FF0000]******[/color].exe  
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
zsms = REG_SZ, “rundll32.exe C:\winnt\system32\mcdsrv16_[color=#FF0000]******[/color].dll start
3、其中ie.in记录着病毒的版本状况,并可能连接网络更新自身。
4、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭。
5、每隔几秒访问自己注册表项,如不在则重新生成。
6、修改系统年份为1987年。
7、调用rundll32.exe加载木马模块 c:\windows\system32\mcdsrv16_[color=#FF0000]******[/color].dll
8、注入IE进程 c:\windows\system32\mcdsrv16_[color=#FF0000]******[/color].dll
9、在[b]开始菜单[/b],[b]所有程序[/b],[b]启动[/b]项内增加word.lnk自启动项,并是不断检测,如被删除则重新生成。

解决方法:
[b]注:以下文件以mcdsrv16_20071205为他样本,具体文件名请根据命名规则自行分析[/b]
1、下载IceSword、Procss Explorer。
2、用IceSword删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{zsms}{rundll32.exe C:\winnt\system32\mcdsrv16_071205.dll start}  [N/A]
3、打开Process Exlporer,选择iexplorer.exe进程,点属性,在线程选项卡里找到:
mcdsrv16_20071205.dll,将其终止。
4、用IceSword强制删除以下文件:
c:\windows\system32\mcdsrv16_20071205.dll
c:\windows\system32\mcdsrv32_20071205.dll
C:\WINDOWS\system32\ridiap20071205.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\word.lnk
5、检查上面提到过的文件和注册表键值,确定未再生成,重启。
6、使用杀毒软件进行全盘扫描。

Process Explorer
下载地址:http://www.onlinedown.net/soft/31805.htm

或者使用IceSword亦可。
下载地址:http://www.peuol.com/blog/attachment/IceSword_1.20.zip

11 comments — post a comment

HAO

[emot]zan[/emot]

jinzi

我也中这个了,没有办法解决,我的比你的病毒版本高

......

我中的是2008/01/12

jin

我的是20080114,在iceword里面大海捞针一样找了半天也找不到[emot]anger[/emot]

红茶鱼夫

我更郁闷,从08年1月6号开始重次毒,手动删除过,每次都自动更新,今天的已经变成080116版本了,注册表中没有你们说的那项,现在只要运行什么程序CPU使用率就是100%,搞的我郁闷非常!!

feng

痛苦啊,我的好象也查不多.开机时总是蓝屏,要注销后才能进入桌面.进入桌面时提示:加载:cwindowssystem32mcdsrv16-080110.dll时出错.找不到指定的模块.电脑使用时也会跳出一些关于ntsd.exe的东西.我是一个新手,望各位高手不吝赐教

dao0120

我中这个病毒之后,首先是从网上下载了个驾驶模拟考试系统中毒,然后在启动时发现电脑反映比以前慢了很多,感觉不对,然后登QQ时也很慢了。上去后,瑞星提醒强制阻止了一个文件生成~!主动防御起作用了~我赶快断开网络关掉QQ,用瑞星全盘杀毒,杀出一个毒,在登QQ,QQ医生也出来杀掉两个盗号木马,我又在启动项里发现了wold.lnk  删除自己出来,我在网上查最后到了这里,用了你的方法,就最后那个WOLD.LNK出来了,别的都自己没了(杀掉了)
  我想问的是,我这个情况应该没事了吧~~  瑞星杀过了~如果不行,请把方法发到312246532@qq.com谢谢~!

dao0120

那几个文件都找到了删除了,注册表里找不到~wold.lnk  还是重生

灌豆和尚

呵呵。我的是080121的。。更可怕吧。不过我把ridiap080121文件用瑞星的粉碎机粉碎了。好象可以了。不过重起了一次好象还可以生成WORD。LNK启动项。不过收藏夹不再乱加网页了。

22350

我的是080123
下载了IceSword..
打开了却不会用..好象也没有找到那些病毒文件..?
打开到了system32后就全是文件夹的样子..

AA

我也中了!
我用 Windows清理助手 V2.4.1.7 1106.exe
可以清除,安全模式下。。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注