当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
U盘病毒Discovery.exe的分析和手动清除 | |||
2008-2-12 14:56:29 文/清新阳光 出处:网友博客 | |||
这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。 File: Discovery.exe
Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件:
%systemroot%\system32\Discovery.exe 各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。 并每隔一段时间检测它们是否存在,如不存在,则立即回写
2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出 3.创建注册表项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe 达到开机启动自身的目的
4.删除如下键破坏安全模式
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\ SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\ SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\ 5.破坏显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000 6.试图结束很多安全软件进程
比如:360rpt.exe 360Safe.exe 360tray.exe srengps.exe Ravmond.exe rfwsrv.exe rfwmain.exe .... 7.添加映像劫持项目劫持如下进程(包括但不限于)
360rpt.exe 360Safe.exe 360tray.exe ackwin32.exe adam.exe ADVXDWIN AgentSvr.exe alertsvc.exe ALOGSERV amon.exe AMON9X anti - trojan.exe antivir ANTS AppSvc32.exe apvxdwin.exe arvmon.exe ATCON ATUPDATER ATWATCH autodown.exe AutoGuarder.exe autoruns.exe AutoTrace avconsol.exe ave32.exe AVGCC32 avgctrl.exe avgrssvc.exe AvgServ AVGSERV9 AVGW avkpop AvkServ avkserv.exe avkservice avkwctl9 AvMonitor.exe Avnt.exe avp.com avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avpmon.exe avpnt.exe avptc32.exe avpupd.exe Avrep32.exe avsched32.exe avsynmgr.exe avwin95.exe AVWINNT avwupd32.exe AVXMONITOR9X AVXMONITORNT AVXQUAR AVXW blackd.exe blackice.exe BullGuard CCAPP.EXE CCenter.exe ccSvcHst.exe cfgWiz cfiadmin.exe cfiaudit.exe cfind.exe cfinet.exe ... 8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件
主动防御 警报 主动防御 警告 主动防御 信息 之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息
9.启动一个iexplore.exe下载其他木马和病毒
之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒 10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现
解决方法:
到down.45it.con下载Icesword和sreng 1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定 切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程
点击左下角的文件按钮
进入文件列表 删除如下文件%systemroot%\system32\Discovery.exe 以及各个分区下面的Discovery.exe和autorun.inf(务必) 2.解压sreng 把srengps.exe改名为2.com 运行
启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr] 并删除所有红色的IFEO项目
系统修复-Windows Shell/IE 全选 点击修复按钮
高级修复-修复安全模式 3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马
|
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |