科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道AUTORUN.EXE(Worm.Win32.Agent.o)清除

AUTORUN.EXE(Worm.Win32.Agent.o)清除

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

文件名称:Autorun.exe(伪装文件夹图标),文件大小:117860 byte,AV命名:Worm.Win32.Agent.o(卡巴斯基),加壳方式:UPX,编写语言:Microsoft Visual C++ 6.0,病毒类型:U盘.病毒。

作者:zdnet安全频道 来源:论坛整理 2008年6月21日

关键字: 病毒 autorun.exe

  • 评论
  • 分享微博
  • 分享邮件

文件名称:Autorun.exe(伪装文件夹图标)

文件大小:117860 byte

AV命名:Worm.Win32.Agent.o(卡巴斯基)

加壳方式:UPX

编写语言:Microsoft Visual C++ 6.0

病毒类型:U盘.病毒

文件MD5:e320af8a6635b387876c4a7b473eb1cd


行为分析:

1、释放病毒副本:

%Systemroot%\system32\%MS%HCopy.tmp 2291484 字节(大小不固定)

%Systemroot%\system32\kernel32.sys  216166 字节

%Systemroot%\system32\mfc48.dll  216166 字节

 2、修改注.册表,开机启动:

HKEY_L_M\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

REG_SZ, "kernel32.sys "

 3、破坏显示隐藏文件功能,保护自身不被删除:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\SuperHidden\UncheckedValue

注册表值 UncheckedValue
REG_DWORD, 1修改为 REG_DWORD, 0

 4、向运行中的进程映射病毒代码,类似于进程守护。

 5、每隔几秒检测自身病毒文件和注册表,如发现不在则重新写入。由于第4点.的关系,无法关闭其进程,所以清除比较更加困难。

 6、查找硬盘上*.doc和*.xls文件,并用系统.自带的winrar压缩,发送外部,导致计算机一些的重.要资料被公开。


解决方法:

1、http://free.ys168.com/?gudugengkekao下载:

  sreng2.5.zip 780KB

 PowerRmv.com 101KB

 2、下载后直接放桌面,断开网.络连接,关闭不需要的进程。

 3、打开PowerRmv,选上抑制杀灭对象生成,填入下面路径后点杀灭:

C:\Windows\system32\kernel32.sys
C:\Windows\system32\mfc48.dll
C:\Windows\system32\%MS%HCopy.tmp

 4、重启电脑,打.开SREng,编辑AppInit_DLLs注册表项,(注意不是删除):

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kernel32.sys}  [Microsoft Corporation]

修改为:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{ }  [Microsoft Corporation]

编辑时把kernel32.sys这段文.字去掉就可以了。

原文地址:http://secure.itdigger.com/2007/10/14/212821437.htm 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章