超级巡警团队监测到恶意程序Trojan-Dropper.Win32.VB.jen正在传播,该病毒运行后在各盘中创建autorun.inf文件导致各盘双击或右键均无法打开,隐藏用户原有的文件夹并创建以用户原有文件夹名命名,图标为文件夹图标的exe文件,篡改首页为http://www.redtube.com,并修改IE窗口标题为反腐字眼(STOP CORRUPTION!!!)。超级巡警建议用户使用超级巡警来查杀此类蠕虫。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.VB.jen
病毒别名:反腐蠕虫
病毒类型:蠕虫
危害级别:3
感染平台:Windows
病毒大小:206336 bytes
S H A 1 :f57aae6c1fbcf52be41333633fc00d2e625e31f1
加壳类型:UPX V2.00-V3.00
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、在各盘下创建autorun.inf,导致各盘均无法使用双击或右键打开。
2、生成以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
%Windir%\notice.com 167,424 字节
%Windir%\notice.mp3.com 167,424 字节
%Windir%\readme 167,424 字节
%Windir%\readme.exe 167,424 字节
%Windir%\ztescd32.exe 167,424 字节
%Windir%\Msinet32.exe 56,832字节
%Windir%\system32\_svchost32.exe 167,424 字节
%SystemDrive%\ZTE Scandal.exe 167,424 字节
%AppData% \svchost32.exe 167,424 字节
3、添加以下注册表项,达到病毒文件随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:Jun Lozada
数值数据:"C:\WINDOWS\ztescd32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:Kagwang
数值数据:"C:\WINDOWS\kagwang.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:lsass.exe
数值数据:"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:Microsoft Internet Traffic Control
数值数据:"C:\WINDOWS\Msinet32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:svchost32.exe
数值数据:"C:\WINDOWS\system32\_svchost32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
数值名称:ZTEScandal.A
数值数据:"C:\Documents and Settings\Administrator\Local Settings\Application Data\svchost32.exe"
4、修改以下注册表键值,到达篡改首页的目的:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Local Page
数值数据: "http://www.redtube.com/"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据: "http://www.redtube.com/"
5、修改以下注册表键值,达到不显示隐藏文件和文件夹的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
数值名称:Hidden
数值数据:: DWORD: 0 (0)
6、修改以下注册表键值,达到隐藏已知文件类型的扩展名的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
数值名称:HideFileExt
数值数据:: DWORD: 1 (0x1)
7、添加以下注册表键值来屏蔽任务管理器和注册表编辑器:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
数值名称:DisableTaskMgr
数值数据:1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
数值名称:DisableRegistryTools
数值数据:1 (0x1)
8、添加如下注册表项,使用户没有“文件夹选项”:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer
数值名称:NoFolderOptions
数值数据:1 (0x1)
9、添加如下注册表项,使IE窗口标题为:STOP CORRUPTION!!!
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Window Title
数值数据:"STOP CORRUPTION!!!"
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html
手工清除方法:
1、结束病毒进程。打开【超级巡警】-【分析】-【进程管理】:
_SVCHOST32.EXE
ZTESCD32.EXE
KAGWANG.EXE
SVCHOST32.EXE
MSINET32.EXE
2、删除病毒的启动项。打开【超级巡警】-【分析】-【启动管理】:
名称:lsass.exe
路径:%SystemDrive%\Documents and Settings\Administrator\「开始」菜单\程序\启动
名称:svchost32.exe
路径:%Windir%\system32\_svchost32.exe
注册表路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
名称:ZTEScandal.A
路径:%AppData%\svchost32.exe
注册表路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
名称:Kagwang
路径:%Windir%\kagwang.exe
注册表路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
名称:Jun Lozada
路径:%Windir%\ztescd32.exe
注册表路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
名称:Microsoft Internet Traffic Control
路径:%Windir%\Msinet32.exe
注册表路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
3、删除以下注册表项来解锁任务管理器及注册表编辑工具:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
数值名称:DisableTaskMgr
数值数据:1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
数值名称:DisableRegistryTools
数值数据:1 (0x1)
4、修改以下注册表键值,恢复显示隐藏文件和文件夹:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
数值名称:Hidden
数值数据:DWORD: 1 (0x1)
5、修改以下注册表键值,显示已知文件类型的扩展名:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
数值名称:HideFileExt
数值数据:DWORD: 0 (0)
6、删除以下注册表项,使“文件夹选项”恢复:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer
数值名称:NoFolderOptions
数值数据:1 (0x1)
7、修改以下注册表键值,恢复被篡改的首页:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Local Page
数值数据:"C:\WINDOWS\system32\blank.htm"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据:
"http://www.microsoft.com/isapi/redir.dllprd=ie&pver=6&ar=msnhome"
8、删除如下注册表项,恢复IE窗口标题:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Window Title
数值数据:"STOP CORRUPTION!!!"
9、清除所有盘符下的Autorun.inf
10、删除以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
%Windir%\notice.com 167,424 字节
%Windir%\notice.mp3.com 167,424 字节
%Windir%\readme 167,424 字节
%Windir%\readme.exe 167,424 字节
%Windir%\ztescd32.exe 167,424 字节
%Windir%\Msinet32.exe 56,832字节
%Windir%\system32\_svchost32.exe 167,424 字节
%SystemDrive%\ZTE Scandal.exe 167,424 字节
%AppData% \svchost32.exe 167,424 字节
11、删除病毒创建的以用户原有文件夹名命名,图标为文件夹图标的exe文件。
12、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽以下网址:
hxxp://www.redtube.com
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,及时安装系统补丁。
3、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
4、不要使用IE内核的浏览器。
5、不要随意下载不安全网站的文件并运行。
6、下载和新拷贝的文件要首先进行查毒。
7、不要轻易打开即时通讯工具中发来的链接或可执行文件。
8、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
9、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论