Lenovo Limited 病毒分析

　　WinRSLD.dll　SVCH0ST.EXE winoperl.sys smigrate.exe

　　昨天 cenlin7912 朋友发布了一个求助帖，“什么病毒把所有.EXE程序文件变成60KB大小？”

　　链接地址：

　　http://bbs.360safe.com/viewthrea ... p;page=1#pid1815201

　　样本下载：

　　http://bbs.360safe.com/attachment.php?aid=88832

　　（仅供分析，不是玩笑，请不要下载运行）

　　我收到了一个该病毒的样本。分析了以后，觉得似乎有点类似新病毒。病毒作者修改了 Link Time Stamp，看起来和 Windows 得大部分程序链接时间一样，所以无法得知病毒的真实链接时间。

　　这个病毒文件 61,440 字节（60KB左右）。我的江民无法查杀。

　　分析其行为大概有：

　　1.删除文件：

　　c:windowsmediawindows xp 开始.wav

　　c:windowsmediawindows xp 信息栏.wav

　　c:windowsmediawindows xp 弹出窗口已阻止.wav

　　使得计算机可能没有声音，不明白意图。

　　2.反注册以下文件：

　　shimgvw.dll

　　itss.dll

　　scrrun.dll

　　vbscript.dll

　　wmp.dll

　　jscript.dll

　　使得计算机一些常用功能出现异常。

　　3.修改系统时间，使得某些杀毒软件无法工作。

　　4.释放C:Program FilesWindows Media Playersmigrate.exe 文件，并注册为 SecondarySENS 服务。

　　欺骗文字："系统事件通知服务(SENS)，此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如果禁用此服务，显式依赖此服务的其他服务将无法启动"

　　5.释放非法 DLL：WINDOWSsystem32WinRSLD.dll 并注入系统进程。

　　6.释放非法程序：Program FilesInternet ExplorerSVCH0ST.EXE 和 Program FilesInternet Explorerwinoperl.sys 具有系统和隐藏属性。其中 SVCHOST.EXE 驻留内存。

　　7.感染磁盘上非系统分区上所有 EXE，修改为 60 KB 的病毒本身。可能造成其他程序甚至杀毒软件无法运行。

　　8.删除磁盘上的 gho 文件，使得 Ghost 备份无法恢复。

　　病毒文件的版本信息具有：Lenovo Limited 的字样，不知道作者是否对 Lenovo 怀有偏见。呵呵～～

　　初步的解决办法

　　使用 XDelBox 删除以下文件：

　　WINDOWSsystem32WinRSLD.dll

　　Program FilesInternet ExplorerSVCH0ST.EXE

　　Program FilesInternet Explorerwinoperl.sys

　　Program FilesWindows Media Playersmigrate.exe

　　搜索磁盘上已被感染的 EXE（大小在 58 KB -- 62 KB 之间，具体搜索到的再判断），并且删除。

　　该病毒十分危险，感染的 EXE 无法修复。（因为已经被替换了）

　　重新注册以下文件：

　　shimgvw.dll

　　itss.dll

　　scrrun.dll

　　vbscript.dll

　　wmp.dll

　　jscript.dll

　　然后修改正确的系统时间。

　　有必要的话，找回那几个声音文件。。呵呵

　　升级病毒库，全盘杀毒。

　　c:windowsmediawindows xp 信息栏.wav

　　c:windowsmediawindows xp 弹出窗口已阻止.wav

　　这个估计是让你听不到报警之类的声音的。

　　更多讨论见：

　　http://bbs.360safe.com/viewthread.php?tid=344607&extra=page%3D1