这是一个可以通过U盘传播的病毒,病毒具有一定反杀毒软件作用。
病毒样本信息:
File: 1802108_080301.exe
Size: 51712 bytes
Modified: 2008年3月1日, 16:52:56
MD5: 48F34FF4388B21C76C0E0FC921BFD643
SHA1: E1977D88249D10AF3F91B53C527F7C8EB9DF43F4
CRC32: 2D9A9375
1.病毒运行后,将自身复制为%systemroot%\system32\explorer.exe遍历C-Z盘 在每个盘下面生成一个autorun.inf和病毒文件 (病毒文件名和主程序文件名相同),并将其属性设置为隐藏,系统autorun.inf内容
[AutoRun]
open=*
shell\open=打开(&O)
shell\open\Command=*
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=*
2.调用cmd.exe进行下列操作
将时间改为1992-02-08
调用taskill命令 试图结束如下进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
360tary.exe
3.不断检测带有如下标题的窗口,如果发现则模拟按键发送WM_CLOSE则将其关闭:
天网防火墙进程
McAfee Desktop Firewall
Windows 任务管理器
百度搜索_杀毒 - Microsoft Internet Explorer
百度搜索_金山 - Microsoft Internet Explorer
百度搜索_金山杀毒软件 - Microsoft Internet Explorer
百度搜索_瑞星 - Microsoft Internet Explorer
百度搜索_瑞星杀毒软件 - Microsoft Internet Explorer
百度搜索_卡巴 - Microsoft Internet Explorer
百度搜索_卡巴杀毒软件 - Microsoft Internet Explorer
百度搜索_病毒 - Microsoft Internet Explorer
奇虎360安全卫士
瑞星杀毒软件下载版
江民杀毒软件KV2007
4.添加注册表启动项目
HKLM\software\microsoft\windows\currentversion\run
5.通过检查software\microsoft\windows\currentversion\app paths\iexplore.exe下面的键值检查IE所在路径,并启动它,后台刷网站流量。
解决方法:
下载sreng(可到down.wd1x.com下载)
重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng 启动项目 注册表 删除如下项目[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][]
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统盘
删除如下文件
%systemroot%\system32\explorer.exe
同样,从左边的资源管理器 进入其他盘 (千万不要双击打开)删除各个盘根目录下的autorun.inf和其所指向的病毒文件(即上述说的*文件名的文件)
