新华网
新华网天津2月4日电(记者 张建新)国家计算机病毒应急处理中心通过对互联网的监测发现,U盘已成为病毒和恶意木马程序传播的主要途径之一。
近期在互联网络上传播比较严重的病毒,比如:“熊猫烧香”病毒、“U盘破坏者”病毒等,主要是依赖微软操作系统Windows的自动运行功能,使得计算机用户在双击打开U盘或是计算机系统中每个磁盘的时候,自动执行病毒或是木马程序,进而计算机系统受到入侵感染。
由于移动U盘使用方便,很多计算机用户都选择使用它来进行数据文件的存储和拷贝,无形中使得U盘成为这些病毒和恶意木马程序传播的载体,给计算机用户的数据安全和系统的正常使用带来很大危害。
专家指出,鉴于通过U盘传播的病毒和恶意木马程序在互联网络上的传播日趋增多,建议广大计算机用户按照以下几点,正确安全地使用U盘进行数据文件的存储和拷贝。
1、修改计算机系统中的注册表,将系统各个磁盘的自动运行功能禁止。
2、使用U盘进行数据文件存储和拷贝时,打开计算机系统中防病毒软件的“实时监控”功能,避免病毒文件入侵感染。
3、打开“文件夹”选项中“隐藏受保护的操作系统文件”选项,并选择。
U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒,随着U盘,移动硬盘,存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来。近日,国家计算机病毒处理中心 发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。面对这一需要,U盘病毒专杀工具USBCleaner应运而生了.USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀百十余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒。同时USBCleaner能迅速对新出现的U盘病毒进行处理。USBCleaner是你学习,工作,娱乐的好帮手!
根据USBCleaner官网提供的病毒库有这些:
附:目前病毒资料分析
(二00七年四月十六日)
- 校区打印店爆发的LaunchCD.exe,CheckDisk.exe等U盘病毒
- Launchcd.exe chkdsk.exe出现新变种mvs.exe 专杀工具已更新
- 一个可关闭杀毒软件的sxs.exe病毒
- 最新U盘蠕虫 bittorrent.exe分析及查杀
- readme.exe的查杀(主页被劫持为www.qq818.cn)
- U盘病毒专杀工具--添加WinMgCt.exe,UExecute.exe查杀
- U盘病毒专杀工具-添加Sysnote.exe,约会提醒.exe MeetingNote的查杀
- Explorer.exe wsctf.exe system.exe Trojan.PSW.SBoy分析
- sxs2.exe分析报告
- copy.exe temp1.exe,temp2.exe,host.exe分析
- sxs2.exe变种(Trojan.DL.Pabug.a)
- BootIO.exe(Trojan/Agent.Bui)分析
- sxs.exe(eoymry.exe)变种Trojan.PSW.QQPass.rdr
- fooool.exe explorer.exe的查杀分析
- msinfmgr.exe(Trojan.Spy.Agent.akn)查杀分析
- wokaye.exe Worm.Agent.lx(北斗网病毒)的查杀
- autorun.exe Worm.Clive.a分析
- she.exe Trojan.PSW.QQRobber.ajq的查杀
- winsystem.exe,DATABASE.exe的查杀
- wfgfui.exe wfgfui.dll QQhx.dat sxs.exe的查杀
- sxs变种(jvmlts.exe jvmlts.dll QQHX.dat)的查杀
- sxs.exe jhvjln.exe hvjln.dll QQhx.dat --记事本变种
- oso.exe 美女游戏.pif 重要资料.exe分析报告
- 修改时间为1980的U盘病毒查杀
- info.exe分析
- u盘病毒专杀工具----添加fun.xls.exe, sss.exe的查杀
一:校区打印店爆发的LaunchCD.exe,CheckDisk.exe等U盘病毒[Top]
最近由于U盘插过打印店电脑后,感染此病毒的U盘大量增加,而杀毒软件到目前为止还没有能够查杀的!病毒图标如下:
该病毒采用了VB6编写,没有加壳,通过反编译病毒程序,发现以下模块:
……
……
'Sub Subr_009()
'End Sub
Sub Timer1_Timer() ---用计数器监视注册表修改等操作
End Sub
……
'Sub GetExtName()
'End Sub
'Sub SearchForDoc()---搜索Word文档,并加以感染
'End Sub
'Sub Subr_026()
'End Sub
……
以下是病毒感染过程:
双击移动磁盘后,自动运行LaunchCD.exe,之后启动作为子程序ChkDsk.exe,然后LaunchCD.exe自动结束。
ChkDsk.exe所进行的病毒行为如下:
修改注册表项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\LaunchCD
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load C:\windows\ChkDsk.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\\Checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\\Uncheckedvalue
创建文件档
C:\windows\system32\CheckDisk.exe
C:\windows\ChkDsk.exe
C:\windows\system32\LaunchCD.exe
启动进程:
C:\windows\ChkDsk.exe 重复上述注册表操作
C:\windows\system32\LaunchCD.exe
创建文件档
C:\windows\system32\LaunchCD.ICO
C:\windows\WinWord.exe
之后ChkDsk.exe不断写入注册表,防止被修改!运行regedit.exe,任务管理器后,会自动将其结束掉以保护自身!
二:Launchcd.exe chkdsk.exe出现新变种mvs.exe 专杀工具已更新[Top]
最近此病毒又出现新病毒,其病毒行为与原来的病毒区别不大。以下是病毒产生的文件。
病毒具体行为分析:
病毒运行后,MVS.exe作为父级程序,分别产生子进程 RCS.exe,almv.exe,mvh.exe
1.生成的文件档如下:(sys32 在WinxP系统下为C:\windows\system32, 2000系统下为C:\winnt\system32)
sys32/ALMV.exe 65,536 bites
sys32/DLMVD.exe 69,632
sys32/DLMVP.exe 69,632
sys32/DLMVT.exe 69,632
sys32/DLMVX.exe 69,632
sys32/RCS.exe 40,960
sys32/Rtmp.bat 45
sys32/Rtemp.bat 41
sys32/Rtmp.log 1,114
sys32/Rtmp.scr 102
C:\windows\mvh.exe
C:\windows\mvs.exe
2.连接网络情况,通过调用ftp.exe,在命令行模式下连接一个内网的IP10.15.44.183 端口是2121 下载病毒体
3.修改注册表情况:
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ALMV"
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\load", "C:\windows\mvh.exe ", "REG_SZ"
"HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load", "C:\windows\mvh.exe ", "REG_SZ"
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell", "Explorer.exe C:\windows\mvh.exe ", "REG_SZ"
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit", sys32 & "\userinit.exe,C:\windows\mvh.exe ", "REG_SZ"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue", "00000001", "REG_DWORD"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UnCheckedValue", "00000001", "REG_DWORD"
4.病毒的症状,会自动结束任务管理器,注册表编辑器,QQ聊天记录查看器等,使无法显示隐藏文件,无法显示文件扩展名
针对这一病毒,专杀工具已作更新~可彻底查杀此变种!~
三: 通过U盘等移动存储的蠕虫病毒[Top]
此病毒一般重装都无法解决是因为它在各盘符下都生成了一个sxs.exe和autorun.inf,而一般重装只是格式化c盘,双击盘符后会重新运行病毒文件,因此重装也是无效的。
感染此病毒后,会结束多种反病毒软件,像瑞星,江民,金山,卡巴都将关闭,并且无法安装,修改注册表项,使无法显示隐藏文件,保护自身不被删除。
以下是病毒分析:
生成文件如下:C:\WINDOWS\SYSTEM32\SVOHOST.EXE
X:\sxs.exe
X:\autorun.inf (注X代表所有系统盘符)
进程中出现 SVOHOST.EXE 容易与Svchost.exe系统进程混淆
添加自启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMam"=C:\WINDOWS\SYSTEM32\SVOHOST.EXE
使无法显示隐藏文件:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=(原为dword:00000001,会被修改为其他)
目前我手头有两个变种:
金山的命名是:Win32.PSWtroj.QQpass.lr.39035
Win32.Troj.cm.43649 可能有盗QQ密码的行为,注册修改密码
四:最新U盘蠕虫 bittorrent.exe分析及查杀[Top]
Worm.CJump.c.3515723(Kingsoft2006)
Worm.snake.a (Rising2006)
国外的杀软对此病毒查杀效果不佳。kaspersky可以杀,同学的咖啡,和我的NOD32均挂
从同学的U盘上获得的样本,来自学校打印店的“加料”。是继reper.exe, revmonE.exe,rose.exe之后又一新的变种病毒,
不过病毒手法并不怎么高明。
病毒大小:3.35M-3515730字节
中毒症状:
双击U盘无法打开,右键打开出现auto,自动播放等选项。
具体病毒行为:染毒电脑 会生成C:\windows\bittorrent.exe, 为隐藏的系统属性
同时还生成一个ravmonlog文件 用记事本打开后为15969
进程中出现bittorrent.exe
修改注册表:
添加自启动项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bittorrent"="C:\\windows\\bittorrent.exe"
添加项目打开系统TCP端口15969
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"15969:TCP"="15969:TCP:*:Enabled:NortonAV"
访问网络:访问广州天河区一ADSL的IP
当U盘插入电脑时,病毒进程自动监测,并在U盘中生成以下文件:
病毒源体:bittorrent.exe
日志文件:bittorrent.exe.log
C语言动态链接库:msvcr71.dll
inf文件:AUTORUN.INF
内容为:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell\Auto\command=bittorrent.exe e
shell=Auto
这样双击U盘会自动运行病毒。感染另一台电脑。
清除方法:
1.结束进程:bittorrent.exe
2.清除病毒文件:C:\\windows\\bittorrent.exe 注意以文件为隐藏系统属性,要设置为显示所有文件才可看到。
同一文件夹下 ravmonlog文件(此文件非病毒)
恢复注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除
"Bittorrent"="C:\\windows\\bittorrent.exe"
将GloballyOpenPorts整支键删除
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"15969:TCP"="15969:TCP:*:Enabled:NortonAV"
关于U盘的查杀:
请不要在未清除病毒前双击U盘,否则会重复感染
清除方法:用右键打开,进入U盘同样要设置为显示所有文件。将bittorrent.exe,bittorrent.exe.log(非病毒,
msvcr71.dll(非病毒),AUTORUN.INF全部删除。之后将U盘内的文档拷贝到电脑上,对U盘进行格式化。之后复圆文件即可。
注意事项:先清除电脑中的病毒,再清除U盘中的病毒。
五:readme.exe的查杀(主页被劫持为www.qq818.cn)[Top]
此病毒采用记事本的图标,运行后会连接网络自动下载一个maki.exe病毒。同时此病毒会修改浏览器主页为http://www.qq818.cn(一个成人网站),而且无法更改。
病毒行为分析:
生成文件:
C:\Documents and Settings\Nick\Local Settings\Temp\maki.exe 49,097
C:\windows\iexplore.exe 77312
C:\WINDOWS\system32\qq.exe 77312
C:\WINDOWS\system32\SVKP.sys 2368
修改注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page="http://www.qq818.cn" Reg_Sz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
CustomizeSearch="http://www.qq818.cn"
SearchAssistant="http://www.qq818.cn"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
HomePage="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
Explorer.exe qq.exe
自动连接网络下载一个maki.exe,同样是记事本图标。
六:U盘病毒专杀工具--添加WinMgCt.exe,UExecute.exe查杀[Top]
该病毒伪装成windows自动更新,运行后会自动截屏,并在windows目录下生成当前桌面的截屏图screen.jpg, 如果当前自运行腾讯QQ,会将当前号码的文件夹压缩。
病毒具体行为分析:
生成文件档:
C:\WINDOWS\system32\WinMgCt.exe 22940
U:\autorun.inf
U:\Recycler\UExecute.exe U代表你的U盘盘符
注册表修改
在system用户下,添加服务项WinMgct
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinMgct
七:U盘病毒专杀工具-添加Sysnote.exe,约会提醒.exe MeetingNote的查杀[Top]
Sysnote.exe分析 Trojan.Sysnote.a
生成文件档
C:\WINDOWS\system32\Sysnote.exe 887296
C:\WINDOWS\system32\lidb2.mdb 253952
U:\MeetingNote\Sysnote.exe
U:\MeetingNote\lidb2.mdb
U:\MeetingNote\约会提醒.exe
注册表修改:
HKLM\Software\Microsoft\Windows\Currentversion\Run
worknote1
[REG_SZ] C:\windows\system32\Sysnote.exe
HKLM\Software\Microsoft\LiXueJiang\Project1
八:Explorer.exe wsctf.exe system.exe Trojan.PSW.SBoy分析[Top]
生成文件档
C:\windows\system32\EXPLORER.EXE 36864
C:\windows\system32\wsctf.exe 24576
U:\explorer.exe
注册表修改:
HKCU\Software\Microsoft\Windows\Currentversion\Run
wsctf.exe
[REG_SZ] wsctf.exe
HKCU\Software\Microsoft\Windows\Currentversion\Run
explorer.exe
[REG_SZ] EXPLORER.EXE
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon
userinit
[REG_SZ] userinit.exe,EXPLORER.EXE
system.exe分析:
生成文件档:
C:\WINDOWS\system\svchost.exe 68096
C:\WINDOWS\system32\NetDebug.exe 68096
U:\autorun.inf
U:\system.exe 1-20.exe 68096
添加服务:
HKLM\System\Controlset002\Services\Sernd
imagepath
[REG_EXPAND_SZ] C:\windows\system32\NetDebug.exe -k LocalService
九:sxs2.exe分析报告[Top]
sxs2.exe分析报告:
C:\sxs2.exe 15496
U:\autorun.inf
U:\sxs2.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<sxs2><c:\sxs2.exe>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable 将值改成1自动启用代理
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall 隐藏文件
十:copy.exe temp1.exe,temp2.exe,host.exe分析[Top]
copy.exe temp1.exe,temp2.exe,host.exe分析:
生成文件:
c:\windows\svchost.exe 70207
c:\windows\xcopy.exe 1211
c:\windows\system32\temp1.exe 35346
c:\windows\system32\temp2.exe 2085
X:\autorun.inf
X:\copy.exe
X:\host.exe
在winlogon处添加load项
HKEY_CURRENT_USER\Software\Micosoft\Windows NT\Current Version\Windows\load指向 c:\windows\svchost.exe
十一:sxs2.exe变种(Trojan.DL.Pabug.a)[Top]
病毒分析:
生成文件:
C:\net.exe 300751
C:\svchost.exe 15536
U:\autorun.inf
U:\sxs2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
0x00000001 REG_SZ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable
1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system 指向C:\svchost.exe
连接网络下载h××p://dr××nbo.go2.icpcn.com/network.exe
network是一个灰鸽子病毒,运行后删除自身
生成文件:
C:\WINDOWS\msnet.exe 301568
C:\WINDOWS\uninstal.bat create delete
添加服务microsoft basicnet service = C:\WINDOWS\MSNET.EXE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\microsoft basicnet service
十二:BootIO.exe(Trojan/Agent.Bui)分析[Top]
BootIO.exe(Trojan/Agent.Bui)分析
生成文件档:
C:\WINDOWS\system32\avi32.dll 40960 avi32.dll会注入到Explorer.exe进程中
C:\WINDOWS\system32\down.tmp 23741
C:\WINDOWS\system32\del.bat
注册表
HKEY_LOCAL_MACHINE\SOFTWARE\RiKAV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxnet
十三:sxs.exe(eoymry.exe)变种Trojan.PSW.QQPass.rdr[Top]
sxs.exe(eoymry.exe)变种Trojan.PSW.QQPass.rdr
生成文件档:
C:\WINDOWS\system32\eoymry.exe 40011
C:\WINDOWS\system32\QQhx.dat 40011
C:\WINDOWS\system32\eoymry.dll 41984
X:\sxs.exe
X:\autorun.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoymry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
十四:fooool.exe explorer.exe的查杀分析[Top]
fooool.exe explorer.exe的查杀
生成文件档:
c:\windows\system32\fooool.exe
c:\windows\system32\explorer.exe
U:\fooool.exe
U:\explorer.exe
U:\autorun.inf
注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Barsaka
explorer.exe
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon
userinit
C:\WINDOWS\system32\userinit.exe explorer.exe
十五:msinfmgr.exe(Trojan.Spy.Agent.akn)查杀分析[Top]
此病毒利用了Rootkit技术,在正常模式下无法查看其病毒进程,病毒文件和修改的注册项
需要借助ICesword等工具。
先来看病毒发作后的截图:(左边是用Icesword查看,右边是用regedit查看的,可以发现用regedit查看时无法看到winlogon加载项msinflogon)
再来看一个图:(左边是regedit查看,右边是用Icesword查看,用regedit查看时同样无法找到病毒添加的服务项msinfmgr)
此病毒还会感染Exe文件
生成文件档:
C:\WINDOWS\system32\msinfdll.dll 57344
C:\WINDOWS\system32\msinfmgr.exe 106496
C:\WINDOWS\system32\drivers\msinfklg.sys 281
C:\WINDOWS\system32\drivers\msinfomgr.sys 9728
D:\autorun.inf
D:\msinfmgr.exe
U:\msinfmgr.exe
U:\autorun.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\msinflogon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msinfmgr
imagepath指向system32\drivers\msinfomgr.sys
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSINFMGR]
针对这一病毒,U盘病毒专杀工具已添加了DOS处理模块,(使用时先将usbcleaner.exe改成usbcleaner.com)可解决此病毒,但查杀完毕后,最好还是用专业反病毒软件检查有无感染Exe文件.
十六:wokaye.exe Worm.Agent.lx(北斗网病毒)的查杀[Top]
感染此病毒的主要症状是浏览器首页被锁定为:http:\\www.bydou.com(北斗网),并且有广告弹出。
生成文件档
C:\WINDOWS\system32\ceitmmc.dll 32768 这个dll的文件名是随机的,比如ieitmmc.dll iomreplt.dll
C:\WINDOWS\system32\iertrmgr.dll 32768 这个dll的文件名是随机的,比如certrmgr.dll comreplt.dll
C:\WINDOWS\system32\sevchost.exe 28672 这个exe文件名也是随机出现的,比如sarvices.exe rund32.exe lsess.exe siss.exe
C:\WINDOWS\system32\vmiprwse.exe 40960 这个exe文件名也是随机出现的,比如ravmod.exe xsnsvc.exe conrme.exe epoolsv.exe
C:\WINDOWS\system32\wiskcpy.exe 30803 这个exe文件名也是随机出现的,比如 wpensvr.exe wiskpert.exe wokaye.exe
C:\WINDOWS\system32\dll.reg 生成后自删除
C:\WINDOWS\system32\dlltmp.reg 生成后自删除
C:\WINDOWS\system32\karffilt.ini 这个ini文件名也是随机的,比如 schotrs.ini prodkpec.ini
U:\autorun.inf
U:\wokaye.exe(随机名)
注册表修改情况:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http:\\www.bydou.com ---锁定首页
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ceitmmc] --从winlogon启动
"Asynchronous"=dword:00000000
"DllName"=hex(2):63,00,65,00,69,00,74,00,6d,00,6d,00,63,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Impersonate"=dword:00000000
"Logon"="CryptnatWlxLogonEvent"
"Lock"="CryptnatWlxLockEvent"
"Logoff"="CryptnatWlxLogoffEvent"
"ScreenSaver"="CryptnatWlxScreenSaverEvent"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 ---关闭防火墙
连接网络情况
58.41.5.102 443
66.249.89.99 80
十七:autorun.exe Worm.Clive.a分析[Top]
autorun.exe Worm.Clive.a
这个样本来自同济大学
主要麻烦之处是这个病毒修改了exe文件关联,使每次运行exe都会重新运行病毒一次,而且此病毒不断监视注册表的修改。同时此病毒会修改host文件,感染此病毒的朋友,下载U盘病毒专杀工具后,最好将后缀名改为.bat等。
生成文件档:
C:\WINDOWS\system32\soundmix.exe 16896
C:\WINDOWS\system32\dllcache\zipexr.dll 16896
C:\WINDOWS\system32\drivers\etc\hosts.tmp 153
C:\WINDOWS\system32\drivers\etc\hosts delete
U:\autorun.inf
U:\RECYCLER\autorun.exe
注册表修改:
添加自启动项
HKLM\Software\Microsoft\Windows\Currentversion\Run
soundmix
[REG_SZ] C:\windows\system32\soundmix.exe
修改文件关联
HKLM\Software\Classes\Exefile\Shell\Open\Command
[REG_SZ] soundmix "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command
soundmix "%1" %*
修改文件显示属性
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
十八:she.exe Trojan.PSW.QQRobber.ajq的查杀[Top]
she.exe Trojan.PSW.QQRobber.ajq
这是一个sxs.exe的变种,盗取QQ密码账户:
生成文件:
C:\WINDOWS\system32\SVOHOST.exe (143,511 字节) 39,035
C:\WINDOWS\system32\winscok.dll 33280 33,280
x:\she.exe
X:\autorun.inf
注册表修改:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
bd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SoundMam
C:\windows\system32\SVOHOST.exe
十九:winsystem.exe,DATABASE.exe的查杀[Top]
这个病毒是文件夹的图标。会修改INF文件关联
生成文件:
生成文件:
C:\Documents and Settings\Administrator\WINDOWS\system\winsystem.exe 237,568
C:\Program Files\System32\database.exe 237,568 字节
C:\Program Files\System32\WinInet.ocx 8
U:\autorun.inf
U:\winsystem.exe
U:\DATABASE.exe
注册表修改:
HKLM\Software\Classes\Inffile\Shell\Open\Command
[REG_SZ] C:\Documents and Settings\Administrator\WINDOWS\system\winsystem.exe
HKLM\Software\Microsoft\Windows\Currentversion\Run
winsystem
[REG_SZ] C:\Documents and Settings\Administrator\WINDOWS\system\winsystem.exe
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon
userinit
[REG_SZ] C:\WINDOWS\system32\userinit.exe,C:\Program Files\System32\database.exe,
二十:wfgfui.exe wfgfui.dll QQhx.dat sxs.exe的查杀[Top]
这是sxs.exe的一个新变种,同样是个盗号木马,而且使用了rootkit技术,需要借助ICESWORD等工具结束进程,手动结束的方法有,
1.在正常模式下,将QQhx.dat里的内容清空后保存,然后重起电脑,再将wfgfui.exe wfgfui.dll清除
2.在安全模式下,直接删除wfgfui.exe wfgfui.dll QQhx.dat
病毒分析:
wfgfui.exe Trojan.PSW.QQPass.rdr
C:\WINDOWS\system32\wfgfui.dll 41,984
C:\WINDOWS\system32\wfgfui.exe 40,018
C:\WINDOWS\system32\QQhx.dat 40,018
X:\autorun.inf
X:\sxs.exe
注册表修改:
HKLM\Software\Microsoft\Windows\Currentversion\Run
yaqsul
[REG_SZ] C:\windows\system32\wfgfui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
二十一:sxs变种(jvmlts.exe jvmlts.dll QQHX.dat)的查杀[Top]
U盘病毒专杀工具-USBCleaner4.0正式版 Build20070128添加下列病毒的查杀:
此病毒是sxs.exe的变种之一,同样是柯南的图标,不过此样本没有发现使用rootkit技术,以下就以前相关变种的不同之处加以说明:
病毒行为分析:
sxs.exe worm.pabug.ao
生成文件:
C:\WINDOWS\system32\jvmlts.exe 38,464 字节
C:\WINDOWS\system32\jvmlts.dll 39,424 字节
C:\WINDOWS\system32\QQhx.dat 38,464 字节
U:\sxs.exe
U:\autorun.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall\checkedvalue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
Explorer.exe C:\windows\system32\jvmlts.exe
二十二:sxs.exe jhvjln.exe hvjln.dll QQhx.dat --记事本变种[Top]
sxs.exe--记事本变种分析:
sxs.exe 记事本变种
生成文件:
C:\WINDOWS\system32\jhvjln.exe 37586
C:\WINDOWS\system32\jhvjln.dll 40960
C:\WINDOWS\system32\QQhx.dat 37586
C:\WINDOWS\system32\kakatool.dll delete
C:\WINDOWS\system32\norun.reg create delete
X:\sxs.exe
X:\autorun.inf
U:\个人档案.exe
U:\成人小说.exe
U:\重要资料.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
生成一个无效的REG_SZ值0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\NoDriveTypeAutoRun
bd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
krsant
C:\windows\system32\jhvjln.exe
二十三:oso.exe 美女游戏.pif 重要资料.exe分析报告[Top]
U盘病毒专杀工具-USBCleaner4.0正式版 Build20070128添加下列病毒的查杀:
此样本于2007年1月26日截获,采用记事本的图标,是一类IFEO映象劫持病毒,这在我以前分析的U盘病毒中还是第一次遇到,由于杀毒软件不修复被病毒破坏的注册表,导致杀毒后打开regedit.exe等被映象劫持的软件打开错误,USBCleaner4.0可完美修复这些注册表项,将 oso.exe赶出你的系统。
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。
生成文件如下:(以系统盘为C盘,XP SP2为例)
oso.exe的查杀
C:\WINDOWS\system32\drivers\conime.exe 38,132 字节
C:\WINDOWS\system32\drivers\mpnxyl.exe 38,132 字节
C:\WINDOWS\system32\gfosdg.dll 38,400
C:\WINDOWS\system32\gfosdg.exe 38,132
C:\WINDOWS\system32\severe.exe 38,132 字节
C:\WINDOWS\system32\hx1.dat 生成运行后自删除
C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库
C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节 修改HOSTS文件,屏避对手的网站:
127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘,不包括移动设备)
X:\oso.exe (X在此指非系统盘,不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif
注册表修改情况:
添加自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall\checkedvalue
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mpnxyl
C:\windows\system32\gfosdg.exe
--------------------------------
gfosdg
C:\windows\system32\severe.exe
------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe C:\windows\system32\drivers\conime.exe
修改NoDriveTypeAutoRun值[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
被映象劫持的软件名列表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\windows\system32\drivers\mpnxyl.exe 都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
修改以下系统服务,如图:
关闭系统防火墙 关闭杀毒软件服务关闭系统还原后重新开启(清除还原点达到防止用户用系统还原的方法来杀除病毒的目的)
用一个批处理hx1.dat
修改系统时间为2004-1-22 使防病毒软件失效
由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。
二十四:修改时间为1980的U盘病毒查杀[Top]
这个病毒是下载者病毒,有连网操作,同时会修改系统时间为1980,导致反病毒软件失效。
病毒分析:
生成文件:
wzkSP.exe(随机) Trojan.DL.Agent.dao
C:\WINDOWS\wzkSP.exe (随机的文件名)(51,200 字节) hidden
C:\WINDOWS\002.exe 5,688 字节
C:\WINDOWS\003.exe 61,440
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
4002http://www.sinavip.net/k1.rar
4005http://www.sinavip.net/ms.rar
31"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
X:\autorun.inf
X:\wzkSP.exe随机名
同时修改系统时间为1980
注册表修改:
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon\userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
同时病毒还会下载一大批**流氓软件,建议使用一些流氓软件专杀工具进行清除!U盘病毒专杀工具只处理病毒部分。
二十五:info.exe分析[Top]
info.exe Trojan.Agent.zfe分析:
生成文件档:
C:\WINDOWS\system\svchost.exe 106496
C:\WINDOWS\system\_sv_CMD_\U.exe 44640
C:\WINDOWS\system\_sv_CMD_\_U_.exe 106496
U:\autorun.inf
u:\RECYCLER\desktop.ini
U:\RECYCLER\info.exe
U:\RECYCLER\u.exe
注册表修改:
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon
userinit
[REG_SZ] userinit.exe,C:\windows\system\svchost.exe
二十六:u盘病毒专杀工具----添加fun.xls.exe, sss.exe的查杀[Top]
病毒分析病毒:
fun.xls.exe是继tel.xls.exe,sal.xls.exe又一新变种,采用的仍是Excel图标,除生成病毒文件名不太一样,其他病毒行为大致相同。
生成文件档:
C:\WINDOWS\system32\algsrvs.exe 49152
C:\WINDOWS\system32\msfun80.exe 49152
C:\WINDOWS\system32\msime82.exe 49152
C:\windows\ufdata2000.log
X:\fun.xls.exe
X:\autorun.inf
注册表修改:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsServer = MSFUN80.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IMJPMIG8.2 = MSIME82.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\showall
删除原来的checkedValue 新建了一个字符串的checkedValue,值为0
--------------------------------------------------------------------------------
以下是sss.exe的分析报告:
sss.exe是sxs.exe的新变种。
生成文件档:
C:\WINDOWS\system32\scvhsot.exe 37376
C:\Documents and Settings\Administrator\Local Settings\Temp\23473.txt--内容为(为随机的5位数)
[AutoRun]
open=sss.exe
shellexecute=sss.exe
shell\Auto\command=sss.exe
X:\sss.exe
X:\autorun.inf
修改注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
QQKAV = C:\WINDOWS\SYSTEM32\SCVHSOT.EXE
Favorite it
![[ Poco网摘 ]](javascript:d=document;t=d.selection?(d.selection.type!='None'?d.selection.createRange().text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,stat
us=no,resizable=yes'));keyit.focus();){kind=link}