| 【发掘网签约作者团:病毒风向标精英组】 |  |
| 【独家发布,版权所有,未经许可不得转载】 | |
| 【如需转载或合作,请联系QQ:138993551】 | |
| 【病毒风向标救援论坛】【救援群:6550172】 |
文件名称:Autorun.exe(伪装文件夹图标)
文件大小:117860 byte
AV命名:Worm.Win32.Agent.o(卡巴斯基)
加壳方式:UPX
编写语言:Microsoft Visual C++ 6.0
病毒类型:U盘病毒
文件MD5:e320af8a6635b387876c4a7b473eb1cd
行为分析:
1、释放病毒副本:
%Systemroot%\system32\%MS%HCopy.tmp 2291484 字节(大小不固定)
%Systemroot%\system32\kernel32.sys 216166 字节
%Systemroot%\system32\mfc48.dll 216166 字节
2、修改注册表,开机启动:
HKEY_L_M\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
REG_SZ, "kernel32.sys "
3、破坏显示隐藏文件功能,保护自身不被删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\SuperHidden\UncheckedValue
注册表值 UncheckedValue
REG_DWORD, 1修改为 REG_DWORD, 0
4、向运行中的进程映射病毒代码,类似于进程守护。
5、每隔几秒检测自身病毒文件和注册表,如发现不在则重新写入。由于第4点的关系,无法关闭其进程,所以清除比较更加困难。
6、查找硬盘上*.doc和*.xls文件,并用系统自带的winrar压缩,发送外部,导致计算机一些的重要资料被公开。
解决方法:
1、http://free.ys168.com/?gudugengkekao下载:
sreng2.5.zip 780KB
PowerRmv.com 101KB
2、下载后直接放桌面,断开网络连接,关闭不需要的进程。
3、打开PowerRmv,选上抑制杀灭对象生成,填入下面路径后点杀灭:
C:\Windows\system32\kernel32.sys
C:\Windows\system32\mfc48.dll
C:\Windows\system32\%MS%HCopy.tmp
4、重启电脑,打开SREng,编辑AppInit_DLLs注册表项,(注意不是删除):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{kernel32.sys} [Microsoft Corporation]
修改为:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{AppInit_DLLs}{ } [Microsoft Corporation]
编辑时把kernel32.sys这段文字去掉就可以了。
【原文地址:http://secure.itdigger.com/2007/10/14/212821437.htm 请勿断链 保留此句】
