当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Virus.Win32.Dzan.a(Worm.Suser.a)病毒的清除教程 | |||
2006-12-1 11:37:39 文/艾玛 出处:卡卡 | |||
清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky) 病毒别名:Worm.Suser.a(瑞星) 病毒大小:110,592 字节 清除Virus.Win32.Dzan.a后:45,056 字节 加壳方式:N/A 样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8 样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70 发现时间:2006.11 更新时间:2006.11 关联病毒: 传播方式:通过恶意网页传播,其它木马下载,可移动存储设备(如U盘、MP3、移动硬盘) 技术分析 ========== 这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。 tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样,运行后复制自身到系统目录: %Windows%\session.exe %Windows%\svchost.exe %System%\SocksA.exe %System%\FileKan.exe 创建启动项: [Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ASocksrv"="SocksA.exe" 在每个驱动器根目录复制副本: X:\tel.xls.exe X:\autorun.inf 在系统目录创建autorun.inf的副本: %Windows%\BACKINF.TAB autorun.inf内容: [Copy to clipboard]CODE:[AutoRun] open=tel.xls.exe shellexecute=tel.xls.exe shell\Auto\command=tel.xls.exe shell=Auto tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。 修改注册表破坏“显示所有文件和文件夹”设置: [Copy to clipboard] CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"="0" 由于被病毒(Virus.Win32.Dzan.a)感染,导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。 被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。 创建服务: QUOTE: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc] 显示名:Smart Card Supervisor 可执行文件的路径:%System%\mmc.exe mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框(如图): mmc.exe大小61440字节,被感染exe文件增加大小61952字节,是mmc.exe自身大小再加512字节,被感染exe文件运行后会释放mmc.exe运行。 病毒文件如图: 清除步骤 ========== 1. 结束病毒进程: %System%\mmc.exe X:\tel.xls.exe %Windows%\svchost.exe %System%\SocksA.exe 2. 删除病毒文件: %Windows%\BACKINF.TAB %Windows%\session.exe %Windows%\svchost.exe %System%\SocksA.exe %System%\FileKan.exe %System%\mmc.exe 3. 通过磁盘驱动器右键菜单进入根目录:右键点击驱动器盘符,点击菜单中的“打开”进入驱动器根目录,删除根目录下的文件: X:\autorun.inf X:\tel.xls.exe 4. 删除病毒启动项和服务: [Copy to clipboard] CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ASocksrv"="SocksA.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc] 5. 修改“显示所有文件和文件夹”设置,到注册表以下位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 删除右边病毒创建的字符串值:"CheckedValue"="0" 新建DWORD值,名称:CheckedValue,数据:1 6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件 注:今天上午测试,Kaspersky(卡巴斯基)和瑞星(Rising)可以基本清除被感染exe文件 7. 从正常的相同的操作系统里复制%System%\mmc.exe,用以恢复系统“管理控制台”功能 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |