病毒相关分析
超级巡警团队监测到恶意程序Worm.Win32.AutoRun.nsn,该病毒释放副本到各个磁盘驱动器的根目录下,添加注册表自启动项,释放驱动文件beep.sys替换系统的文件,屏蔽杀毒软件主动防御。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.AutoRun.nsn
病毒类型:蠕虫
危害级别:3
感染平台:Windows
病毒大小:35,180字节
SHA1 : 3AE17A444DE2ECC0E1CF43C355F43EFD052C44C8
加壳类型:FSG
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放副本和其他病毒。
%SystemDrive%auto.exe
%SystemDrive%AutoRun.inf
%DriveLetter%auto.exe
%DriveLetter%AutoRun.inf
%system32%driversbeep.sys
%system32%jj32dftmp0.exe
%system32%dfajj32tmp0.exe
2、添加注册表项,实现开机自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
"dlnjjbdfa"
Type: REG_SZ
Data: C:\WINDOWS\system\llwzjy080922.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
"dlnjjdfa"
Type: REG_SZ
Data: C:\WINDOWS\system\llzjy080915.exe
关闭windows文件保护
3、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
4、遍历当前进程,如果进程里有avp.exe就将系统时间修改为1987年,使卡巴斯基软件失效。
5、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
auto.exe、AutoRun.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、cross.exe、FileDsty.exe、
FTCleanerShell.exe、guangd.exe、HijackThis.exe、 IceSword.exe、iparmo.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、
KPFW32X.exe、KPFWSvc.exe、KRegEx.exe、KRepair.COM、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、
kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exeKWatchX.exe、loaddll.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、
nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
QQDoctor.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、
RavTask.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、
RsAgent.exe、Rsaupd.exe、RStray.exe、runiep.exe、safelive.exe、scan32.exe、
SDGames.exe、shcfg32.exe、ShuiNiu.exe、SmartUp.exe、sos.exe、SREng.exe、
svch0st.exe、symlcsvc.exe、SysSafe.exe、Systom.exe、taskmgr.exe、TNT.Exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、TxoMoU.Exe、UFO.exe、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
UmxPol.exe、UpLive.EXE、WoptiClean.exe、XP.exe、zxsweep.exe
6、修改注册表项,隐藏文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showall "CheckedValue"
解决方案
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,jj32dftmp0.exe、dfajj32tmp0.exe终止进程。
2、删除病毒生成的文件。
%DriveLetter%auto.exe
%DriveLetter%AutoRun.inf
%system32%driversbeep.sys
%system32%jj32dftmp0.exe
%system32%dfajj32tmp0.exe
3、删除病毒添加的注册表项。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesbhfmj
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNessery
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesoxefv
安全建议
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论