一、 症状:
启动时出现如下对话框提示:
I'm sorry to trouble you, but It's useless to say sorry. Happy April Fools' Day:)
Syscon.exe位于%SYSDIR%目录下(windows 2000系列是%windir%system32,win9x系列是%windir%system目录),不能删除,拒绝访问。
进入安全模式后,虽然不弹出对话框,但仍然不能删除Syscon.exe。
二、病毒功能:
病毒名称:I-Worm.HappyFoolsDay(RAV瑞星)/Emai-Worm.Win32.Dushit.a(KAV卡巴斯基)
1、病毒主文件是SYSCON.EXE (572 KB / 585,728 字节),运行有以下行为:
1) 将自己复制到%SYSDIR%目录下,文件名为"SYSCON.EXE"。
2) 运行后弹出上边的对话框。
3) 将自身复制到%SYSDIR%目录下,文件名为mschk.dll
4) 由其资源FUNYWATCHER释放文件 Watcher.dll(72.0 KB / 73,728 字节)到%SYSDIR%目录下,并使用创建远程线程的方式使该动态库挂接在"WINLOGON.EXE"进程中。
5) 由其资源MONSYS释放一个动态库 (472 KB / 483,328 字节)到%SYSDIR%目录下。文件名有以下可能:
"sysMon.dll"、"mssys.dll"、"netchk.dll"、"msginfo.dll"、"servr.dll"、"client.dll"、"ipchk.dll"、"msevent.dll"、"atchk.dll"、"dskchk.dll"、"chkrun.dll"。
并使用创建远程线程的方式使该动态库挂接在"WINLOGON.EXE"进程中。
6) 会在%SYSDIR%目录下,生成syslog.dll,大小10字节,应该是病毒的临时文件。
2、Watcher.dll动态库(72.0 KB / 73,728 字节)负责监控,运行后
1) 每秒多次修改注册表以下键值以使SYSCON.EXE自启动并防止用户删除该键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加"syscon"="%SYSDIR%SYSCON.EXE"
每秒多次修改该键值,防止用户删除该键值。
2) 修改注册表以下键值使系统(Win2K以上版本)启动后加载Watcher.dll这个动态库:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
增加"AppInit_DLLs"="%SYSDIR%WATCHER.DLL"
这样系统重起后,每次启动程序,都会加载该dll。
每秒多次修改该键值,防止用户删除该键值。
3) 打开病毒文件%SYSDIR%SYSCON.EXE 和 %SYSDIR%mschk.dll 防止用户删除。
3、由其资源MONSYS (472 KB / 483,328 字节) 释放的动态库运行后
1) 由其资源FUNNYMSG释放一个动态库文件(416 KB / 425,984 字节)到%SYSDIR%目录下,文件名有以下可能:
"sysMon.dll"、"mssys.dll"、"netchk.dll"、"msginfo.dll"、"servr.dll"、"client.dll"、"ipchk.dll"、"msevent.dll"、"atchk.dll"、"dskchk.dll"、"chkrun.dll"
并将所释放的动态库挂接在"Explorer.EXE"进程中。
4、由资源FUNNYMSG释放的动态库文件(416 KB / 425,984 字节) 动态库运行后
1) 由其资源释JMAIL放出一个动态库sysmsg.dll (315 KB / 323,072 字节),并使用regsvr32.exe将注册到系统中,所释放的动态库挂接在"Explorer.EXE"进程中。
2) 病毒邮件包含以下内容:
n 邮件标题有以下可能:
"hello"
"funny:)"
"hi"
"good day:)"
"hehe"
"game"
"smallGame"
n 邮件内容有以下可能:
": hehe"
": run it:)"
": it's a joke"
": little game~~"
n 附件为病毒文件,文件名可能为:
"funny.exe"
"joke.exe"
"hello.exe"
"love.exe"
"interesting.exe"
"cat.exe"
"dog.exe"
"novel.exe"
"new_jdk.exe"
n 邮件的发件人可能是你熟悉的某个朋友(来自于中毒者的地址簿)。
5、sysmsg.dll (315 KB / 323,072 字节) 动态库是w3 JMail 4.3(http://www.dimac.net/)的正常邮件发送函数库。不属于病毒。
三、手工杀毒
由以上分析可知,杀毒的关键在于Watcher.dll监控了主程序SYSCON.EXE及其备份mschk.dll,因此不能删除主程序。由于Watcher.dll的注册启动方式的关系,在安全模式下虽然SYSCON.EXE不能启动,但是Watcher.dll还是会启动,也不能删除主程序。
不过作者还是忽略了一点,Watcher.dll没有使用监控SYSCON.EXE的方式监控自己,因此可以简单的手工杀毒。
1、 将%sysdir%Watcher.dll改名为任意其他名。
如果是第一次运行SYSCON.EXE而没有重启动系统,此时可以使用资源管理器为%sysdir%Watcher.dll改名;
如果已经重新启动,资源管理器已经加载了%sysdir%Watcher.dll,资源管理器不能在改名了。但可以使用命令行进行方式改名,开始菜单—运行—cmd.exe或者command.com,用ren命令将%sysdir%Watcher.dll改名。
由于系统问题,可能极少数情况下,用ren命令仍然不能将%sysdir%Watcher.dll改名,此时需要查看那个程序锁定了Watcher.dll,先将其关闭。
2、 重启动系统,在启动时按F8启动到安全模式。
3、 删除%sysdir%syscon.exe、%sysdir%mschk.dll和改名后的Watcher.dll。
4、 重启动系统到正常模式,检查染毒现象是否消失。
5、 如果消失,进行后续工作,删除注册表中上述的二个相关键值。删除上边列表中生成的多余dll文件,其实不删除也可以。
四、附录:
系统感染后的文件列表(不全):有问题的文件为syscon.exe和那些.dll,其他是系统文件。
东软网络安全 微信号:Neusoft_NetEye
