扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
解决方法:
这个病毒就是前些日子分析的auto.exe的变种
特征和原来的完全相同
瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序,所以导致清除掉内存中的Trojan.Win32.Agent.vti以后,重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。
下面是关于这个病毒的简要分析和查杀方法:
File: auto.exe
Size: 21551 bytes
MD5: 17397C773EFF2D052BC3CBE66512DAB1
SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
CRC32: 235B28FE
病毒生成物特点:
在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程(瑞星报的就是这个dll)
以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称
并在每个磁盘的根目录下生成一个auto.exe和autorun.inf
本例中生成物如下:
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务:B12E7AC4
连接网络下载木马,木马下载的种类千变万化,所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。
本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...
对应的sreng日志如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
查杀方法:
一.清除病毒主程序(随机8位字母和数字组合的exe和dll)
1.首先下载sreng这个软件(http://download.kztechs.com/files/sreng2.zip)
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。
在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中打开C盘(系统盘)
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf
%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
至此病毒主程序已经被删除了,接下来清除其下载的木马
二.清除病毒下载的木马(由于每个变种下载的木马不尽相同,因此本例仅供参考)
还是在安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。
在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中打开C盘(系统盘)
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll
最后需要修复或者重装瑞星杀毒软件,并一定修改你的网络游戏密码。
另外此病毒一般通过U盘等移动存储传播,所以如果你电脑最近有插过移动存储,那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒,烦请大家做好如下预防工作,不要再让这类病毒扩散了。(这种东西下载的木马很多,看日志眼都会花的)
1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打
开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
2.锁住某些注册表权限
开始-运行-输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,右键单
击这个键,权限,把管理员的权限设置为拒绝。
3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器:http://update3.dswlab.com/antiautorun.zip
4.克服拿来陌生U盘就双击打开的方法!!!
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入U盘(同上面清除病毒时打开磁盘分区的方法)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。