Virus.Win32.AutoRun.sw(Systom.exe/nx.exe)病毒分析与解决方案

　　该病毒运行后会遍历磁盘在网页文件插入恶意代码，使用映像劫持技术导致各大杀毒软件无法打开，破坏安全模式，禁用任务管理器，删除注册表内对应于"显示所有文件和文件夹"的键值，并将"不显示隐藏的文件和文件夹"选项的显示文字更改为"显所有文件和文件夹"，达到欺骗的目的，导致用户手工清除十分困难。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Virus.Win32.AutoRun.sw

　　病毒别名：无

　　病毒类型：病毒

　　危害级别：3

　　感染平台：Windows

　　病毒大小：28,160(字节)

　　SHA1　　：ef15f1dfdddfa36a9144313cf80df0abe772ed3c

　　加壳类型：UPX

　　开发工具：Borland Delphi 6.0 - 7.0

　　病毒行为：

　　1、病毒运行后释放以下文件：

　　%System%\Systom.exe

　　2、在注册表内添加自启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"crsss"="%System%\Systom.exe"

　　3、在注册表内添加以下键值禁用任务管理器和Windows的自动升级功能：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableTaskMgr"=dword:00000001

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]

　　"DisableWindowsUpdateAccess"=dword:00000001

　　4、删除注册表内对应于"显示所有文件和文件夹"的键值，并将"不显示隐藏的文件和文件夹"选项的显示文字更改为"显

　　示所有文件和文件夹"，造成欺骗的效果，

　　病毒删除以下键值：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30500"

　　"Type"="radio"

　　"CheckedValue"=dword:00000001

　　"ValueName"="Hidden"

　　"DefaultValue"=dword:00000002

　　"HKeyRoot"=dword:80000001

　　"HelpID"="shell.hlp#51105"

　　更改设置以下键值为：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

　　"Text"="显示所有文件和文件夹"

　　5，利用映像劫持使各大杀毒软件及安全工具不能运行，所劫持路径均指向病毒本身，被劫持的进程有：

　　360rpt.exe,360Safe.exe,360tray.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,AST.exe,autoruns.exe,

　　avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,FTCleanerShell.exe,

　　HijackThis.exe,IceSword.exe,iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,

　　KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,KISLnchr.exe,

　　KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,krepair.COM,KsLoader.exe,

　　KVCenter.kxp,KvDetect.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,

　　KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KvXP_1.kxp,KWatch.exe,

　　KWatch9x.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,

　　PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,shcfg32.exe,

　　SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe

　　6，删除以下注册表项破坏安全模式，导致进入安全模式时蓝屏：

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

　　\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

　　\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

　　\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

　　\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\

　　7，复制自身到磁盘跟目录下并重命名为nx.exe，生成autorun.inf文件，便于随U盘等移动设备传播。

　　8，遍历磁盘向网页文件中插入以下代码：

　　9，连接网络统计受害者数量。

　　10，连接http://xx.522love.cn/****/down1.txt，获取文件，并根据文件中的地址下载病毒木马并运行。

　　二、解决方案

　　手工清除方法：

　　1、结束病毒进程。打开超级巡警，选择进程管理功能，终止Systom.exe进程。

　　2、删除病毒生成的文件。%System%\Systom.exe以及各盘符下的nx.exe和autorun.inf文件。

　　3、删除病毒的启动项。打开超级巡警，选择启动管理，删除名为crsss的启动项。

　　4、修复安全模式启动和映象劫持。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动和映象劫

　　持，修复即可。

　　5、从正常的系统上导出以下键值，并导入到中毒的机器上，恢复显示所有文件和文件夹选项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

　　6、删除以下键值，解锁任务管理器，恢复系统自动更新功能：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableTaskMgr"=dword:00000001

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]

　　"DisableWindowsUpdateAccess"=dword:00000001

　　7、使用超级巡警的智能扫描功能清除以下代码：

　　8、清除病毒所下的其他木马。

　　9、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽http://xx.522love.cn和http://www.testks.com/。

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、不要使用IE内核的浏览器。

　　5、不要随意下载不安全网站的文件并运行。

　　6、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超

　　级巡警屏蔽恶意网站。

　　7、下载和新拷贝的文件要首先进行查毒。

　　8、不要轻易打开即时通讯工具中发来的链接或可执行文件。

　　9、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变

　　量指%Windir%\System32。其它：

　　%SystemDrive% 　　 　　 系统安装的磁盘分区

　　%SystemRoot% = %Windir% 　　WINDODWS系统目录

　　%ProgramFiles%　 　 　　　　应用程序默认安装目录

　　%AppData% 　　 　　 应用程序数据目录

　　%CommonProgramFiles%　　 公用文件目录

　　%HomePath% 　　 　　 当前活动用户目录

　　%Temp% =%Tmp% 　　 　　 当前活动用户临时目录

　　%DriveLetter% 　　 　　 逻辑驱动器分区

　　%HomeDrive% 　　　 　　 当前用户系统所在分区