● Re: 求救！！！请问这是怎么回事？ - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: yoho (小子), 信区: Virus
标题: Re: 求救！！！请问这是怎么回事？
发信站: 荔园晨风BBS站 (Mon Aug 25 15:24:32 2003), 站内信件

Win32.xorala.2048病毒说明及解决方法
Win32.valla.2048也叫win32.xorala.2048, 它是win32病毒，感染Windows目录及系统目录
下的可执行文件。运行时，病毒会在本地驱动器中查找PE形式的Windows可执行文件(即*.
EXE)，并感染。感染的文件生成名为“XOR”的节表（Section table），文件大小增加2,
048字节
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~。
现象：运行时，弹出一个WINDOWS文件保护的框，内容大概是，有文件已被改变，需要放入
WINDOWS2000的安装盘，进行恢复。进程里多了几十个CMD.EXE. 机器速度很慢。还有
PING.EXE FHIDE.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

传染分析：这个病毒通常伴随着另一个病毒bat.mumu而传染的。蠕虫Mumu是一种批处理脚本
文件，也是可执行的配置文件以及初始化文件。蠕虫的文件包括恶意代码程序、黑客工具以
及正常的卸载工具。蠕虫通过局域网传播，并试图破解远端电脑超级用户的口令从而获得权
限。蠕虫会使用其自带的字典进行破解，如果成功，蠕虫会将自己的所有文件都拷贝到远端
电脑的系统目录下，并运行启始脚本。这些文件主要有：
l start.bat – 初始批处理脚本，使用不同参数执行文件muma.bat、10.bat以及near.
bat
l muma.bat -运行 PCGhost 程序
l 10.bat – 使用HFind.exe程序扫描C类网端，并运行ipc.bat
l near.bat – 在可连接的机器列表中搜索易受攻击的系统
l ntservice.bat – 调用ntservice.exe
l ss.bat – 在系统增加一个帐号admin
l replace.bat – 调用文件"rep.exe" 用来修复格式化后的IPCFind.txt
l ipc.bat – 运行文件hack.bat
l hack.bat – 复制所有的程序到目标机器并在远端机器上运行 start.bat
l HFind.exe – 木马PCScan - scans a range of IP addresses and hacks passwords
l nwiz.exe – pcGhost程序
l pcMsg.dll – 程序pcGhost的一部分
l nwiz.ini -初始化文件
l nwiz.in_ - 初始化文件病毒自带的端口扫工具
l psexec.exe – 远程进程执行工具
l rep.exe – Replace命令程序
l IPCPass.txt – 字典（密码列表）
l IPCFind.txt – 木马PCScan输出的文件
l tihuan.txt – 用来格式化文件IPCFind.txt
l A.LOG – 临时日志文件
l LAN.LOG -临时日志文件
l B.TMP –记录目标网段内用Ping命令得到的结果
具体流程：START.BAT首先被执行，设定扫描网段，调用并控制其他文件的运行。 1. 10.
BAT 调用HFind.exe扫描指定的网段。 2. hfind.exe是一个IPC扫描工具，将默认用户登陆
密码设置为空的机器的IP地址记录下来，保存到IPCFind.txt，默认端口是139。 3.
replace.bat 调用rep.EXE把IPCFind.txt的文本信息转换为病毒可以使用的格式。 4.
ipc.bat读取IPCFind.txt中的每一条IP和帐号信息，调用hack.bat进行攻击。 5. hack.
bat是入侵模块。它使用net use指令，以取得的默认帐号对指定ip进行ipc连接，然后拷贝
当前目录下的21个病毒文件到对方机器的系统目录（admin$system32）下面。最后远程启动
ntservice.bat。 6.ntservice.bat的任务是调用ntservice.exe，在系统中启动名称为“
Application”的服务。该服务运行的结果是调用ss.bat。 7.ss.bat使用net user命令在系
统增加一个帐号admin，密码为KKKKKKK，并添加到管理员组。最后以此帐号和密码登陆
127.0.0.1（就是被感染机器），以管理员的身份调用START.BAT。这样，新一轮的攻击又开
始了。
由于该病毒频繁扫描网络，会向网络发大量数据包，所以大大降低了网络速度。另外，该病
毒本身不会破坏系统文件，但是在传播过程中，其中的HFind.exe等exe文件感染病毒
Win32.Valla，结果用户的机器被入侵后,系统中大量的.exe文件会被破坏。
具体解决方法：
l 最好关掉WIN2000下的共享，查杀的时候最好从网络上断开
l 在系统的“用户和组”的选项内，将ADMIN这个增加的用户删掉。
l 已安装KILL6的用户，在升级到最新的特征码后是可以防住这两个病毒的，如果一旦被感
染，可以将系统启动到安全模式下做扫描。
l 如果有文件清除不干净，主要的文件是EXPLORER.EXE和RUNDLL32.EXE，可能是改名，你可
以用软盘从干净的WIN2K系统拷贝或者直接从WIN2K安装盘解出这两个文件（假定光盘在G：
，具体操作是：expand G:I386explorer.ex_ c:explorer.exe），然后将该文件拷贝到相应
的目录。
注意：WIN2K的PRO和SERVER版本的文件是不一样的。
最后，重新启动机器，在正常启动的系统中再进行查杀。
另一篇文章：
用以下两个专杀工具，这两个病毒处理起来是非常简单的，处理速度很快，效果也不错。下
载地址： www.vrv.com.cn/tools/killbat.com www.vrv.com.cn/tools/killxorala.com 下
载完成后，直接运行即可以下是两种病毒的分析报告： Win32.Xorala病毒分析报告

【在 Paulbeyond (我的天空阴晴不定……) 的大作中提到: 】
: 不是开机时才有的，是几乎每次打开一个程序就会有这情况！
: 【在 langame (网际快车) 的大作中提到: 】
: : 每次开机都是这样吗？
: : 如果是，那就要装个杀毒软件，升级到最新的病毒库，然后杀一下
: : 看看有没有毒

--
只是因为他们把自己的优点发挥得淋漓尽致。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.39.73]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店