监测到恶意程序
超级巡警团队监测到恶意程序Trojan.Win32.AD.sq正在传播,该病毒运行后创建病毒文件,屏蔽任务管理器以及对病毒文件的右键属性功能,并导致用户无法浏览图片等,自动打开大量广告网页及黄色网站,严重影响用户电脑的运行速度和网速。超级巡警提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.AD.sq
病毒类型:木马类
危害级别:3
感染平台:Windows
病毒大小:69,632 字节
S H A 1 :f902318c15115b28a6cb5a241985790829a6c108
加壳类型:无壳
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、该病毒运行后创建并运行以下病毒文件:
%Windir%\DLECOQ.bat
%Windir%\E3CO3VEIF.exe(名称随机,大小69,632 字节)
%ProgramFiles%\KVBTR.exe(名称随机,大小32,768 字节)
%ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节)
%ProgramFiles%\8YMF8GZRLVG(文件夹名称随机)
%ProgramFiles%\8YMF8GZRLVG\RCD6T2RJ4P.exe(名称随机,大小69,632 字节)
2、调用命令解释程序运行生成的如下文件:
%ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节)
文件执行完毕后,删除自身。
3、设置病毒文件属性为:只读,隐藏,系统。
4、创建启动类型为自动的Windows服务:sc.exe create XAC4OT4CD
显示名称:3YF2X7J6(名称随机)
5、解除以下服务,方便下载木马等:
regsvr32.exe /u /s shimgvw.dll :导致用户无法浏览图片照片等
regsvr32.exe /u /s itss.dll :导致用户无法打开CHM/ITS格式文件
regsvr32.exe /u /s scrrun.dll:利于基于FSO组件的ASP木马的下载执行
regsvr32.exe /u /s vbscript.dll:反注册Vbscript.dll,让某些网页无法浏览
regsvr32.exe /s jscript.dll:注册jscript.dll,不管成功与否均不显示提示框
6、添加以下注册表项来修改internet选项设置:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Background_Sounds /t REG_SZ /d no
:禁止播放HTML中的背景音乐
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations /t REG_SZ /d no
:禁止播放网页中的动画
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos /t REG_SZ /d no
:禁止下载视频
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Images /t REG_SZ /d yes
:可以显示图像
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DisableScriptDebuggerIE /t REG_SZ /d yes
:禁用IE中Script错误报告
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Disable Script Debugger /t REG_SZ /d yes
:禁止脚本调试
7、删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8、删除系统盘Windows下Media文件夹内的所有文件:
del %Windir%\Media\*.* /Q
9、利用FindWindow屏蔽任务管理器以及对病毒文件的右键属性功能。
手工清除方法
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://download.pchome.net/utility/antivirus/trojan/detail-33842.html
手工清除方法:
1、断网,结束病毒进程。
打开超级巡警,选择进程管理功能,终止E3CO3VEIF.exe(名称随机)进程。
2、删除病毒生成的以下文件:
%Windir%\DLECOQ.bat
%Windir%\E3CO3VEIF.exe(名称随机,大小69,632 字节)
%ProgramFiles%\KVBTR.exe(名称随机,大小32,768 字节)
%ProgramFiles%\8YMF8GZRLVG(文件夹名称随机)
%ProgramFiles%\8YMF8GZRLVG\RCD6T2RJ4P.exe(名称随机,大小69,632 字节)
3、删除病毒创建的启动类型为自动的Windows服务:
sc.exe create XAC4OT4CD
打开超级巡警,选择分析里的服务管理功能,删除该服务。
4、注册以下服务:
shimgvw.dll
itss.dll
scrrun.dll
vbscript.dll
5、删除以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Background_Sounds /t REG_SZ /d no
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations /t REG_SZ /d no
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos /t REG_SZ /d no
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Images /t REG_SZ /d yes
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DisableScriptDebuggerIE /t REG_SZ /d yes
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Disable Script Debugger /t REG_SZ /d yes
添加以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6、使用超级巡警解锁任务管理器。
【超级巡警】-【工具】-【系统修复】-【解锁任务管理器】
7、恢复%Windir%\Media文件夹里面的所有文件。
8、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽以下网址:
hxxp://mimi.semei7.cn
hxxp://r.dsd333.cn
hxxp://fhly3.18day.com
hxxp://ok.rxsg999.cn
安全建议
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、禁用不必要的服务。
5、不要使用IE内核的浏览器。
6、不要随意下载不安全网站的文件并运行。
7、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
8、下载和新拷贝的文件要首先进行查毒。
9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
10、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论