45IT.COM- 电脑学习从此开始!
RSS订阅 设为首页 加入收藏
DIY硬件教程攒机经验装机配置
设计Photoshop网页设计特效
系统注册表DOS系统命令其它
存储主板显卡外设键鼠内存
维修显卡CPU内存打印机
WinXPVistaWin7unix/linux
CPU光驱电源/散热显示器其它
修技主板硬盘键鼠显示器光驱
办公ExcelWordPowerPointWPS
编程数据库CSS脚本PHP
网络局域网QQ服务器
软件网络系统图像安全

搜索

页面导航: 首页 > 电脑学院 > 网络安全 >

bigdog.exe,autorun.inf,“道”字U盘病毒分析解决

电脑软硬件应用网 45IT.COM 时间:2008-01-07 12:16 作者:清新阳光

这是一个随U盘传播的病毒,仅仅起到了一定的破坏作用,应该是作者的一个病毒雏形。

File: bigdog.exe
Size: 458723 bytes
Modified: 2007年12月29日, 22:57:26
MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
CRC32: 0375B832
加壳方式:UPX
编写语言:易语言

1.病毒运行后,衍生如下副本:
%systemroot%\system32\bigdog.exe
在C盘到K盘下生成autorun.inf和bigdog.exe

如果查到C盘到K盘下有autorun.inf免疫,则使用cmd /c  rmdir *:\autorun.inf /s /q(*代表盘符)命令删除该文件(夹)

2.注册启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

3.修改系统时间为2000年1月29日 00:00

4.破坏安全模式
删除如下键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger: "%systemroot%\system32\bigdog.exe"

6.修改hosts屏蔽某些杀毒软件网站
127.0.0.1      www.trendmicro.com
127.0.0.1      rads.mcafee.com
127.0.0.1      www.rising.com.cn
127.0.0.1      bbs.2dai.com
127.0.0.1      bbs.abcbit.com
127.0.0.1      www.freekv.net
127.0.0.1      downloads-us1.kaspersky-labs.com
127.0.0.1      downloads1.kaspersky-labs.com
127.0.0.1      downloads4.kaspersky-labs.com
127.0.0.1      downloads2.kaspersky-labs.com
127.0.0.1      downloads-eu1.kaspersky-labs.com
127.0.0.1      www.qq.com
127.0.0.1      www.duba.net
127.0.0.1      www.baidu.com
127.0.0.1      www.google.com
127.0.0.1      www.jiangmin.com
127.0.0.1      www.ahn.com.cn
127.0.0.1      www.luckfish.net
127.0.0.1      www.hao123.com
127.0.0.1      mail.163.com

连某些盗版升级的网站都屏蔽了,汗

7.破坏显示隐藏文件
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001

8.打开电脑的自动播放功能
把HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun的值改为0x000000FF


解决方法:
到down.45it.com下载Icesword和sreng

1.打开Icesword-进程
结束%systemroot%\system32\bigdog.exe进程

点击 左下角的“文件”按钮
删除如下文件%systemroot%\system32\bigdog.exe
以及各个盘符下面的autorun.inf和bigdog.exe(一定不要忘记)

2.打开sreng

注册表 启动项目
删除如下项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

并删除下面红色的IFEO项目

还是sreng -系统修复 Windows Shell/IE  全选-修复

系统修复-高级修复 修复安全模式

系统修复-Hosts文件 点击下面红色的重置  重置后再点击右下角的保存按钮
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: baidushare.htm
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片
最新评论 进入详细评论页>>
你可能感兴趣的文章
推荐知识
热点知识

关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

Copyright © 2006-2012 45IT. All Rights Reserved 浙ICP备09049068号