扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月21日
关键字: 病毒 autorun.exe
文件名称:Autorun.exe(伪装文件夹图标)
文件大小:117860 byte
AV命名:Worm.Win32.Agent.o(卡巴斯基)
加壳方式:UPX
编写语言:Microsoft Visual C++ 6.0
病毒类型:U盘.病毒
文件MD5:e320af8a6635b387876c4a7b473eb1cd
行为分析:
1、释放病毒副本:
%Systemroot%\system32\%MS%HCopy.tmp 2291484 字节(大小不固定)
%Systemroot%\system32\kernel32.sys 216166 字节
%Systemroot%\system32\mfc48.dll 216166 字节
2、修改注.册表,开机启动:
HKEY_L_M\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
REG_SZ, "kernel32.sys "
3、破坏显示隐藏文件功能,保护自身不被删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\SuperHidden\UncheckedValue
注册表值 UncheckedValue
REG_DWORD, 1修改为 REG_DWORD, 0
4、向运行中的进程映射病毒代码,类似于进程守护。
5、每隔几秒检测自身病毒文件和注册表,如发现不在则重新写入。由于第4点.的关系,无法关闭其进程,所以清除比较更加困难。
6、查找硬盘上*.doc和*.xls文件,并用系统.自带的winrar压缩,发送外部,导致计算机一些的重.要资料被公开。
解决方法:
1、http://free.ys168.com/?gudugengkekao下载:
sreng2.5.zip 780KB
PowerRmv.com 101KB
2、下载后直接放桌面,断开网.络连接,关闭不需要的进程。
3、打开PowerRmv,选上抑制杀灭对象生成,填入下面路径后点杀灭:
C:\Windows\system32\kernel32.sys
C:\Windows\system32\mfc48.dll
C:\Windows\system32\%MS%HCopy.tmp
4、重启电脑,打.开SREng,编辑AppInit_DLLs注册表项,(注意不是删除):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kernel32.sys} [Microsoft Corporation]
修改为:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{ } [Microsoft Corporation]
编辑时把kernel32.sys这段文.字去掉就可以了。
原文地址:http://secure.itdigger.com/2007/10/14/212821437.htm
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。