扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Win32.Troj.Downloader.yl.a.36864(依然下载者)
这是一个下载者病毒,该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行,并会不断检测窗口来关闭一些杀毒软件及一些关键字为 ‘木马’ ,’杀毒’,’防火墙’, ’任务管理器’….. 之类的窗口. 病毒会在每个分区下释放 AUTORUN.INF 来达到自运行. 病毒运行成功后会下载大量的木马到本地机器运行.
其病毒的破坏功能如下:
一、自动检测是否安装卡巴,安装立刻修改时间使之失效.无卡巴存在不改系统时间。
二、映像劫持所有主流安全产品,使所有安全软件失效。运行以下的安全工具及杀毒软件
会被映象劫持:
1. (360 木马举报程序)
2. (360 安全卫士)
3. (绿鹰PC万能精灵)
4. (Symantec 杀毒系列)
5. (Sysinternals公司的自启动项管理器)
6. (卡巴斯基杀毒软件)
7. (瑞星信息中心程序)
8. (瑞星文件粉碎器)
9. (Windows木马清道夫)
10.(冰刃)
11.(木马克星)
12.(AVG 反病毒)
13.(卡巴斯基下载程序)
14.(金山屏保杀毒)
15.(金山清理专家)
16.(金山毒霸杀毒软件)
17.(金山防火墙)
18. KRepair.COM
19. KsLoader.exe
20.(江民杀毒软件)
21. loaddll.exe
22.(超级兔子魔法设置)
23.(McAfee 的 VirusScanConsole)
24.(木马清除专家)
25.(木马杀客)
26.(诺顿杀毒软件)
27.(NOD 32 杀毒软件)
28.(天网防火墙)
29. QHSET.exe
30.(瑞星杀毒软件)
31.(瑞星防火墙)
32.(瑞星卡卡助手等工具)
33.(McAfee VirusScan)
34.(SREng )
35.(SSM 监控软件)
37.(优化大师)
四、 病毒运行时,为了使自己下载流畅就会劫持其它下载者的运行:
zxsweep.exe
sos.exe
auto.exe
UFO.exe
AutoRun.exe
XP.exe
taskmgr.exe (注,病毒也劫持系统任务管理器)
ShuiNiu.exe
Systom.exe
svch0st.exe
五、 病毒将自己拷贝到%WINDIR%\SYSTEM32\Flower.exe 和
%WINDIR%\SYSTEM32\drivers\disdn\Flower.exe. 并将系统的URLMON.DLL 拷贝到
%WINDIR%\SYSTEM32\Flower.DLL,通过调用Flowe.dll 中的下载函数来绕过一些
下载监视软件.病毒还将下载代码注入到系统进程中,使一些防火墙软件和下载者监视器失效.
六、 病毒会在所有硬盘分区和U盘分区下释放病毒的副本,并创建 AUTORUN.INF 文件指向它,使用户一打开分区就激活病毒。
感染途径:
1. 可移动磁盘的自运行
2. 内网ARP
3. 其它下载者病毒或恶意软件
解决方案:
(手动清除)
由于病毒利用映象劫持技术,使得很多工具无法打开。该病毒没有劫持注册表编辑和反复写注册表. 所以可以打开注册表,定位到:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下,除了“Your Image File Name Here without a path” 键值外的其它键值全部删除,然后再开启杀毒软件升级最新查杀或者可以使用可查杀该病毒的安全工具清除掉它.
比较推荐用金山清理专家清除,该病毒会下载大量的病毒木马和流氓软件到本地安装,一般杀毒软件不易彻底清除,会留下一些残留或清除不掉. 为了避过映象劫持,要把清理专家的主程序KASMain.EXE 该为其它任意名称,如 ABCD.EXE。最后利用清理专家的恶意软件查杀功能将下载的恶意软件,病毒木马及下载者病毒一并清除。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。