文件名称:MicrSoft.exe 文件大小:22714 bytes AV命名:Worm.Win32.AvKiller.ca (瑞星) 加壳方式:NsPack 文件MD5:b0f8c31ee946d6b761e78d4548416488 行为分析: 1、运行病毒体,首先释放一个批处理,修改系统日期,修改为:date 2005-10-31 使一些依赖时间的杀软、工具会失效。 2、释放病毒副本: %Systemroot%system32\MicrSoft.exe 22714 字节 3、修改注册表,开机启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4、IFEPO重定向劫持,以下进程将被劫持: 360rpt.exe 5、尝试关闭一第4点的安全进程,每3秒检测一次。 6、病毒利用内存映射技术,启动%System32%\Svchost.exe空壳进程,并把自身代码注入其中。 所以进程里根本看不出任何异常,而且,这个文件也不可以删除。 7、每隔几毫秒检测自身的注册表启动项、IFEO、自身文件存在,若不在,则重新生成(注册)。 8、尝试U盘感染和破坏“显示隐藏文件功能”,不过测试时并没有实现。 9、破坏安全模式,防止自身在安全模式被移除,删除注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\{4D36E967-E325-11CE-BFC1-08002BE10318}
10、连接61.183.11.2**(湖北省武汉市 电信IDC机房),下载: http://www.onlinek.net/ad/log/135/135.txt木马列表 不过网址已失效。。。(被和谐了``哈哈) 解决方法: 方法一: U盘专杀: http://www.kingzoo.com/tools/孤独更可靠/usbcleaner.zip 可以清除。 方法二(完全手工): 首先要记住,在执行下面操作之后,千万不要点击进入所有磁盘!!(C—移动盘) 1、开始-运行-gpedit.msc。管理模板—系统—点击右边的“不要运行指定的windows应用程序”,点“己启用”,点显示,把MicrSoft.exe添加进去,确定。 2、重启电脑,可能会提示你一些什么程序无法运行,被管理员限制之类的。8用理会`` 3、开始-运行-regedit。 展开到: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Image File Execution Options\ 你会看到上面分析到的第4点,把提到的那些项删除掉。 OK,然后收起,转到:
4、开始-运行-CMD,输入下面内容:
Del D:\autorun.inf /f/s/q/a Del E:\autorun.inf /f/s/q/a Del F:\autorun.inf /f/s/q/a
Del D:\MicrSoft.exe /f/s/q/a Del E:\MicrSoft.exe /f/s/q/a Del F:\MicrSoft.exe /f/s/q/a 如果有移动盘的话,自己再加上去!! 5、OK,清除完毕,重启电脑,一切正常。 工具篇: 1、下载:到down.45it.com下载360FileKill.rar,XDelBox1.5.rar,sreng2.5.zip 2、下载后直接放桌面,断开网络,关闭不需要的进程。 3、用Xdelbox或360FileKill,选择阻止杀灭对象再生,导入这个路径: C:\windows\system32\MicrSoft.exe 如果是2K或ME系统的话,则是:C:\winnt\system32\MicrSoft.exe 4、然后重启电脑。 5、重启后,不要运行其他程序,先打开修复IFEO之XP系统专用。修复IFEO劫持。 6、打开SREng,删除它的启动项:
7、修至于安全模式,请下载这个修复: 到down.45it.com下载360安全卫士,使用其安全模式修复板块进行修复,当然可直接使用SREng安全模式修复工具 其实SREng里也有集成这个功能呵`` 这个看似几乎无懈可击的病毒,实际上存在很多低级的问题 只要仔细观察,就可以发现 ^_^ 哈哈,昨晚刚运行,3分钟后就在这里了。。: ] |