Virus.Win32.AutoRun.xa(serdst.exe)专杀方案 ___发掘网_数字生活互动门户

【发掘网签约作者团：病毒风向标精英组】
【独家发布，版权所有，未经许可不得转载】
【如需转载或合作，请联系QQ：138993551】
【病毒风向标救援群：6550172】

一、病毒标签：
病毒名称： Virus.Win32.AutoRun.xa
病毒类型：下载者
文件 MD5：1290ecd734d68d52318ea9016dc6fe63
公开范围：完全公开
危害等级： A
文件长度： 37.0 KB (37,888 字节)
开发工具： Borland Delphi 6.0 - 7.0
加壳类型：无壳
命名对照：
江民杀毒           Virus.Autorun.es
赛门铁克           W32.Fubalca.E
迈克菲           W32/Autorun.worm.af
金山毒霸           Win32.Troj.Autorun.hx.81920
AVAST          Win32:Delf-FVX [Trj]

二、病毒描述：
病毒来自恶名昭著的http://down.18dd.net，该病毒运行以后填加一个启动项目并连接网络下载一大堆盗号木马。该病毒传播范围广，被挂上down.18dd.net的网站近来非常多。通过对比可发现与近来的Virus.Win32.AutoRun.hw是同一病毒的不同变种。连接下载的域名有所改变，但下载的病毒和down.dj7788.cn一样。

三、行为分析
填加启动服务：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wdswsdewn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn

描述为：
为即插即用设备提供支持
名字为Telephotsgoogle
路径：
C:\WINDOWS\system32\serdst.exe

生成一个文件：
c:\WINDOWS\system32\serdst.exe
Date: 10-24-2007 5:58 PM
Size: 37,888 bytes

连接网络下载文件：
http://down.18dd.net/kl/0.exe
http://down.18dd.net/kl/1.exe
http://down.18dd.net/kl/2.exe
http://down.18dd.net/kl/3.exe
http://down.18dd.net/kl/4.exe
http://down.18dd.net/kl/5.exe
http://down.18dd.net/kl/6.exe
http://down.18dd.net/kl/7.exe
http://down.18dd.net/kl/8.exe
http://down.18dd.net/kl/9.exe
http://down.18dd.net/kl/10.exe
http://down.18dd.net/kl/11.exe
http://down.18dd.net/kl/12.exe
http://down.18dd.net/kl/13.exe
http://down.18dd.net/kl/14.exe
http://down.18dd.net/kl/15.exe
http://down.18dd.net/kl/16.exe
http://down.18dd.net/kl/17.exe
http://down.18dd.net/kl/18.exe
http://down.18dd.net/kl/19.exe

继续躲避瑞星的IE防漏墙：
CODE:00405BE4 ; char WindowName[]
CODE:00405BE4 WindowName      db ''''''''IE 执行保护'''''''',0      ; DATA XREF: StartAddress+32 o
CODE:00405BF0 ; char ClassName[]
CODE:00405BF0 ClassName       db ''''''''#32770'''''''',0           ; DATA XREF: StartAddress+37 o
CODE:00405BF0                                         ; StartAddress+4C o
CODE:00405BF0                                         ; StartAddress+17F o
CODE:00405BF7                 align 4
CODE:00405BF8 ; char s_IeGD[]
CODE:00405BF8 s_IeGD          db ''''''''IE执行保护'''''''',0       ; DATA XREF: StartAddress+47 o
CODE:00405C03                 align 4
CODE:00405C04 ; char s_A_0[]
CODE:00405C04 s_A_0           db ''''''''允许执行'''''''',0         ; DATA XREF: StartAddress+6C o
CODE:00405C0D                 align 10h
CODE:00405C10 ; char s_Button[]
CODE:00405C10 s_Button        db ''''''''Button'''''''',0           ; DATA XREF: StartAddress+71 o
CODE:00405C10                                         ; StartAddress+F8 o
CODE:00405C10                                         ; StartAddress+198 o
CODE:00405C17                 align 4
CODE:00405C18 ; char s_I[]
CODE:00405C18 s_I             db ''''''''确定'''''''',0             ; DATA XREF: StartAddress:loc_405A7F o
CODE:00405C1D                 align 10h
CODE:00405C20 ; char s_IIL-IeI[]
CODE:00405C20 s_IIL-IeI       db ''''''''瑞星卡卡上网安全助手 - IE防漏墙'''''''',0
CODE:00405C20                                         ; DATA XREF: StartAddress:loc_405B06 o

解决方案：
用SRENG删除服务
[Telephotsgoogle / Wdswsdewn][Stopped/Auto Start]
＜C:\WINDOWS\system32\serdst.exe＞＜N/A＞
删除文件：
C:\WINDOWS\system32\serdst.exe

屏蔽域名：down.18dd.net

找到C:\WINDOWS\system32\drivers\etc\hosts文件，右键——>打开方式——>用记事本打开，打开后在文件内容末尾加上：

127.0.0.1 http://down.18dd.net

【原文地址：http://secure.itdigger.com/2007/10/24/203304984.htm 转载请勿断链保留此行】

Virus.Win32.AutoRun.xa(serdst.exe)专杀方案

本文导航

发掘网阅读推荐

相关新闻

热点资讯

发表评论