U盘病毒sbl.exe的分析手动解决_电脑软硬件应用网_国内最受关注的计算机应用解决中心

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

[组图]U盘病毒sbl.exe的分析手动解决

U盘病毒sbl.exe的分析手动解决

2007-9-24 9:54:53　　文/清新阳光　　出处:清新阳光bolg 　　

　　病毒生成如下文件：
　　C:\WINDOWS\system32\1.inf
　　C:\WINDOWS\system32\chostbl.exe
　　C:\WINDOWS\system32\lovesbl.dll
　　在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏

　　注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.

　　启动类型：自动
　　显示名称：A GooD DownLoad CAHW

　　调用TerminateProcess函数关闭如下进程
　　360safe.exe
　　360tray.exe
　　runiep.exe
　　avp.exe

　　调用GetWindowsTextA函数获得当前窗口标题，并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口

　　卡卡
　　江民
　　金山
　　任务管理器
　　木马清道夫
　　木马克星
　　超级巡警
　　NOD32核心
　　安全
　　安全卫士
　　木马杀客
　　NOD32
　　内核
　　OD
　　微点

　　调用FindWindowA函数查找如下窗口并试图调用PostMessageA函数向其发送WM_CLOSE指令关闭窗口
　　AVP.AlertDialog
　　AVP.Product_Notification
　　AVP.Product_Noti

　　调用cmd.exe 执行net stop sharedaccess命令关闭Windows自带的防火墙服务

　　C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程
　　利用svchost.exe执行下载木马操作
　　下载http://218.61.18.*/hao.exe
　　http://218.61.18.*/wei.exe
　　http://218.61.18.*/haowei.exe
　　（ip地址为辽宁大连网通）
　　到C:\Documents and Settings下面并分别命名为servciesa.exe~servciesc.exe，下载间隔200ms
　　

　　测试中http://218.61.18.*/haowei.exe（servciesc.exe）链接已失效

　　servciesa.exe为一感染下载者
　　下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe，但下载链接已失效

　　感染除以下文件夹下的exe文件
　　WINDOWS
　　WINNT
　　RECYCLE
　　System Volume Information
　　Internet Explorer
　　Outlook Express
　　NetMeeting
　　Common Files
　　Messenger
　　Windows Media Player
　　WinRAR
　　MSOCache
　　Documents and Settings
　　被感染文件被加入593字节的内容图表不变感染方式还得请高手来指教...

　　servciesb.exe
　　注册服务WindowsRemote
　　启动类型：自动
　　显示名称：Windows Accounts Driver
　　也是一个木马下载者但下载链接失效

　　病毒全部动作完毕以后，sreng日志如下：
　　服务
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
　　手动解决方法：

　　下载sreng （建议到down.45its.com下载）打开解压后运行srengps.exe

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

　　重启计算机

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示

　　确定更改时，单击“是” 然后确定
　　点击菜单栏下方的文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击C盘（千万不要双击打开）

　　删除如下文件
　　C:\WINDOWS\system32\chostbl.exe
　　C:\sbl.exe
　　C:\autorun.inf
　　C:\WINDOWS\system32\servciesa.exe~servciesc.exe（如果有的话）

　　在左边的资源管理器中单击其他盘（千万不要双击打开）
　　删除sbl.exe autorun.inf

上一篇文章： mssock.sys,oproc.ahc,1FE2D8A8.EXE,avzxamn.dll,kvmxcma.dll等木马的清除指南

下一篇文章： scvhoss.exe,svchusts.exe,sys.ini,Netmon.sys病毒的清除指南

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…