这是一个模仿瑞星杀毒软件的恶意程序,使用VB编写,包括版本信息,文件图标均和瑞星的文件一致,并试图卸载瑞星杀毒软件,覆盖感染可执行文件。因此可以把它叫做“瑞星仇恨者”
病毒具体分析如下: File: bsmain.exe Size: 131072 bytes File Version: 20.00 Modified: 2008年3月7日, 22:18:04 MD5: 1EFE96D8D20513351DB5C1681D7BBAFE SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D
1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。
2.释放如下文件或者副本: C:\Windows\system32\bsmain.exe(病毒文件) 不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。
3.在注册表中添加如下启动项目 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的 [Beijing Rising Technology Co., Ltd.] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的 [Beijing Rising Technology Co., Ltd.]
以此达到开机启动自身的目的
4.添加映像劫持项目劫持如下常见杀毒软件 360Safe.exe 360tray.exe adam.exe AgentSvr.exe AppSvc32.exe ArSwp.exe AST.exe autoruns.exe avconsol.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe ccSvcHst.exe ceSword.exe EGHOST.exe FileDsty.exe FTCleanerShell.exe FYFireWall.exe HijackThis.exe IceSword.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPF.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32.exe KPFW32X.exe KPfwSvc.exe KRegEx.exe KRepair.com KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe mmsk.exe Navapsvc.exe Navapw32.exe nod32.exe nod32krn.exe nod32kui.exe NPFMntor.exe PFW.exe PFWLiveUpdate.exe QHSET.exe QQDoctor.exe QQKav.exe Ras.exe RsAgent.exe Rsaupd.exe rstrui.exe runiep.exe safelive.exe shcfg32.exe SmartUp.exe SREng.EXE symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe upiea.exe UpLive.exe USBCleaner.exe vsstat.exe webscanx.exe WoptiClean.exe
劫持到C:\Windows\system32\bsmain.exe
5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...
6.修改txt文件关联指向C:\Windows\system32\bsmain.exe
解决办法:
下载sreng:可到down.45its.com下载
1.打开sreng,启动项目 注册表 删除如下项目 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的 [Beijing Rising Technology Co., Ltd.]
把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的 shell值改为explorer.exe
并删除所有红色的IFEO项目
系统修复-文件关联 点击修复
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 删除C:\WINDOWS\system32\bsmain.exe
3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧...
|