警惕U盘病毒ghost.pif新变种Windows.scr

　　今天接到了好几起感染这个病毒的案例 分析了一下 这个病毒就是先前的罗姆病毒的新变种

　　File: Windows.scr

　　Size: 28024 bytes

　　Modified: 2007年9月11日, 23:49:55

　　MD5: E47C0D7E26B63E44DD5929618E64FD57

　　SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33

　　CRC32: 4E29C95D

　　1.生成如下文件：

　　C:\Program Files\Common Files\fjOs0r.dll

　　C:\Program Files\Internet Explorer\OnlO0r.bak（就是windows.scr文件）

　　C:\Program Files\Internet Explorer\OnlO0r.dll

　　C:\Program Files\Internet Explorer\OnlO0r.obk

　　fjOs0r.dll和OnlO0r.dll注入到Explorer进程中

　　2.添加注册表键值

　　HKCR\CLSID\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}\InProcServer32

　　指向C:\Program Files\Internet Explorer\OnlO0r.dll

　　HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32

　　指向HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32

　　达到开机自动加载的目的

　　3.如果有新的移动存储设备插入电脑，则往里面写入windows.scr和autorun.inf文件

　　4.通过遍历HKEY_LOCAL_MACHINE下相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值 获得某些安全软件的安装目录，比如360安全卫士，瑞星杀毒软件，诺顿等

　　在这些安全软件的目录中创建MFC42.DLL的文件夹并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..\导致windows下无法删除该文件夹

　　5.感染除系统分区外的exe文件

　　被感染文件被加入2092个字节的代码 被感染文件创建时间被改为1620年或者1619年

　　被感染文件被加入的代码具备下载功能 能够联网下载病毒主程序

　　6.由Explorer.exe连接网络

　　读取http://www.*.org/Data/No.txt配置文件

　　其他木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件

　　并且插入Explorer.exe和由explorer.exe启动的进程

　　这些**door0.dll都是盗号木马

　　主要盗取如下网络游戏的帐号和密码（包括但不限于）

　　盛大通行证的帐号密码

　　天龙八部

　　大话西游Online II

　　梦幻西游

　　完美世界

　　诛仙

　　问道

　　热血江湖

　　QQ幻想

　　魔域

　　传奇世界

　　魔兽世界

　　...

　　sreng日志体现如下

　　注册表

　　启动项目

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>[Microsoft Corporation]

　　<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll>[]

　　<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll>[]

　　<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll>[]

　　<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll>[]

　　<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll>[]

　　<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll>[]

　　<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll>[]

　　浏览器加载项

　　[]

　　{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

　　[PID: 1704][C:\WINDOWS\Explorer.EXE][Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

　　[C:\Program Files\Internet Explorer\OnlO0r.dll][Microsoft Corporation, 1. 0. 0. 1]

　　[C:\Program Files\Common Files\fjOs0r.dll][Microsoft Corporation, 1. 0. 0. 1]

　　[C:\WINDOWS\system32\mhdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\wodoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\csdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\wldoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\ztfree0.dll][N/A, ]

　　[C:\WINDOWS\system32\wgdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\dadoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\dh3oor0.dll][N/A, ]

　　[C:\WINDOWS\system32\qjdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\rxdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\wddoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\tldoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\zxdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\mydoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\qhdoor0.dll][N/A, ]

　　[C:\WINDOWS\system32\cqdoor0.dll][N/A, ]

　　...

　　清除办法：

　　一、清除windows.scr产生的病毒文件

　　打开Xdelbox

　　在 添加旁边的框中 分别输入

　　C:\Program Files\Common Files\fjOs0r.dll

　　C:\Program Files\Internet Explorer\OnlO0r.bak

　　C:\Program Files\Internet Explorer\OnlO0r.dll

　　输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中

　　然后一次性选中 （按住ctrl)下面大框中所有的文件

　　右键 单击 点击 重启立即删除

　　重启计算机以后会有一个系统菜单选择选择Go Xdelbox To Del Files

　　类似dos的界面滚动完毕以后 病毒就被删除了

　　之后他会自动重启

　　进入正常模式后

　　打开sreng

　　启动项目注册表 删除如下项目

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>[Microsoft Corporation]系统修复－浏览器加载项－找到如下项目 点击删除项目，在弹出的对话框中点“是”

　　[]

　　{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:\Program Files\Common Files\fjOs0r.dll, Microsoft Corporation>

　　二、清除ghost.pif下载的木马*door0.dll

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

　　打开%system32%文件夹（默认C:\Windows\system32）

　　单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*door0.dll

　　记住所有*door0.dll的名称

　　之后利用Xdelbox的删除功能将其删除

　　重启计算机以后

　　打开sreng

　　启动项目注册表 删除如下项目

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\WINDOWS\system32\mhdoor0.dll>[]

　　<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\WINDOWS\system32\wodoor0.dll>[]

　　<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\WINDOWS\system32\ztfree0.dll>[]

　　<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\WINDOWS\system32\wgdoor0.dll>[]

　　<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:\WINDOWS\system32\csdoor0.dll>[]

　　<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\WINDOWS\system32\wldoor0.dll>[]

　　<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\WINDOWS\system32\dadoor0.dll>[]

　　...

　　（即所有的*door0.dll的项目）

　　三、删除安全软件文件夹下的MFC42.DLL

　　方法：

　　新建一个记事本文件

　　输入如下字符DEL /F /A /Q \\?\%1

　　RD /S /Q \\?\%1保存为1.bat文件

　　将要删除的MFC42.DLL文件或者文件夹，用鼠标左键拖放到1.bat的文件图标上（就像把文件拖到文件夹里的操作一样），一个CMD窗口闪烁之后伪"MFC42.DLL"文件夹就被删除了

　　四、修复受感染的exe文件

　　注意由于病毒感染可执行文件 且被感染的文件可以继续充当下载病毒的角色，所以一定要修复受感染的exe文件 目前瑞星杀毒软件可以修复文件