您现在的位置:发掘首页 > 正文

servet.exe AutoRun.inf Baser.w专杀方案

http://www.itdigger.com  2007年10月02日 14:29:00    来源:发掘网 发表评论



发掘网签约作者团:病毒风向标精英组
独家发布,版权所有,未经许可不得转载
如需转载或合作,请联系QQ:138993551
病毒风向标救援论坛】【救援群:6550172

【至新剑反病毒资讯站的站长:转载请标明来自发掘网,加上原文链接。有问题可以按以上方式联系我们。替广大网友感谢你的辛勤工作。】

【原文地址:http://secure.itdigger.com/2007/10/02/143907265.htm

针对卡巴,瑞星的servet.exe,AutoRun.inf下载者(Trojan-Downloader.Win32.Baser.w )的分析和清除

作者:Westbeck

最近一段时间,下载器类的病毒再次流行,只要中了一个,就会下载十几个病毒。下载的病毒盗号的盗号,感染的感染,耍流氓的耍流氓,还有专门对付杀软的...这样会给用户的清除带来很大的困难,给用户造成很大的损失。下文便对一个下载类的病毒做简单分析。

病毒名称:Trojan-Downloader.Win32.Baser.w (Kaspersky)
病毒大小:18944 bytes
加壳方式:UPX
样本MD5:7be33ec6f747a839fa85970a36212989
样本SHA1:6ac9bea78fa7514b38f54adc479373a9c17d85f5
编写语言:Borland Delphi 6.0 - 7.0
传播方式:下载,网络

病毒描述:
该病毒是下载类的病毒,病毒运行后复制自身到%System32%文件下,注册为系统服务,修改注册表“自动播放”键值,后台调用IE连接到指定网址下载其它病毒。病毒还会尝试检测用户是否装了卡巴,如有则修改系统时间,尝试绕过瑞星与卡卡助手的拦截。最后释放批处理删除自身。

【至新剑反病毒资讯站的站长:转载请标明来自发掘网,加上原文链接。有问题可以按以上方式联系我们。替广大网友感谢你的辛勤工作。】

行为分析:
1,病毒运行后,复制自身到:%System32%servet.exe

2,病毒会在各分区根目录复制副本,创建autorun.inf:
X:\Autorun.inf
X:\servet.exe

AUTORUN.INF内容:
[AutoRun]
open=servet.exe
shellexecute=servet.exe
shell\Auto\command=servet.exe

3,病毒会注册为系统服务:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
显示名:WindowsDo/Telephots google 
描述:为即插即用设备提供支持
可执行文件的路径:%System32%servet.exe

4,修改注册表NoDriveTypeAutoRun键值,以利用自动播放功能传播病毒

5,病毒会访问%System32%drivers目录,查找klif.sys驱动,若有,则运行cmd命令,修改系统时间为1981-01-12后再把时间改回来让卡巴挂掉

6,病毒还会查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。以此绕过瑞星与卡卡助手的拦截。

7,病毒会调用IE,下载如下病毒并运行:
http://down.dj7788.cn/arp/1.exe                                         
http://down.dj7788.cn/arp/2.exe                                         
http://down.dj7788.cn/arp/3.exe                                         
http://down.dj7788.cn/arp/4.exe                                         
http://down.dj7788.cn/arp/5.exe                                         
http://down.dj7788.cn/arp/6.exe                                         
http://down.dj7788.cn/arp/7.exe                                         
http://down.dj7788.cn/arp/8.exe                                         
http://down.dj7788.cn/arp/9.exe                                         
http://down.dj7788.cn/arp/10.exe                                    
http://down.dj7788.cn/arp/11.exe                                        
http://down.dj7788.cn/arp/12.exe                                        
http://down.dj7788.cn/arp/13.exe                                        
http://down.dj7788.cn/arp/14.exe                                        
http://down.dj7788.cn/arp/15.exe                                        
http://down.dj7788.cn/arp/16.exe                                        
http://down.dj7788.cn/arp/17.exe                                        
http://down.dj7788.cn/arp/18.exe                                        
http://down.dj7788.cn/arp/19.exe                                        
http://18dd.net/new/system22.exe

其中13,19下载不了,除了system22.exe是威金,会感染全盘exe文件外,其余都是盗号类的病毒。

手动清除方法:

由于下载的其中一个病毒是感染类的病毒,所以这里不给出下载的病毒的手动清除方法,建议广大网友将杀软升级到最新的病毒库,全盘进行查杀。

1,断网

2,调出任务管理器,结束病毒调用的IE进程

3,删除%System32%servet.exe

4,利用“右键--打开”进入各个驱动器根目录下,删除:servet.exe和Autorun.inf文件

5,删除以下注册表键值:
[HKLM\System\CurrentControlSet\Services\WindowsDo]

6,建议禁用系统自动播放功能

病毒风向标建议广大网友,面对这类下载类的病毒,最好的方法是预防为主。保持杀软的更新,平时上网养成好的习惯,不乱开网页,不乱运行来源不明的程序等,打好系统补丁等。

(作者:westbeck)
[责任编辑:刘景]热门关键词:

本文导航

发掘网阅读推荐

iPhone纯情女孩 台电新品M33与美女亲密合照 音悦汇iPearl小珠绝美图赏 挡不住的性感 全能MP4艾诺P100图赏 音悦汇ishine MP3绝美图赏

相关新闻

热点资讯

发表评论

  • 昵 称:
  • 匿名发表

>>更多评论

  • · 您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任
  • · 留言板管理人员有权保留或删除其管辖留言中的任意内容
  • · ITdigger.Com提醒:不要进行人身攻击。谢谢配合。