国庆期间,闹的最欢的就是“禽兽病毒”了,我公司的电脑、家里的电脑还有很多朋友的电脑都未能幸免!这禽兽病毒究竟是何方神圣,具有如此大的威力?且看金山毒霸的病毒分析专家们娓娓道来。(转自金山毒霸的专业论坛)
2007-9-29 17:00
金山反病毒中心截获一自称“不是禽兽”的恶性病毒。该病毒入侵用户电脑后,会自行修改文件夹选项,并将隐藏文件夹选项中隐藏文件和文件夹菜单下正常的显示替换成“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽”.该病毒和AV终结者如出一辙,但该病毒劫持的安全软件数量超过了6、7月份肆虐的AV终结者病毒。
典型中毒表现
中病毒后,最容易被观察到的现象是弹出广告,任务管理器被禁用,杀毒软件不能正常启动,不能升级,浏览器主页被锁定为www.baidu.com
详细分析:
病毒全名:Worm.Downloader.cr.34304
病毒长度:34304
威胁级别:★★
病毒类型:蠕虫病毒
简介:
这是一个蠕虫病毒。该病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。
而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。
病毒行为:
1.病毒运行后,产生以下病毒文件
引用:
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在%windows%\Fonts下添加许多后缀为"fon"的文件
在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件
在%temp%目录下同样产生病毒文件
2.在各盘目录下,会生成AUTO病毒,分别是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,当用户左键双击进入该盘时,病毒随之触发。
3.病毒运行后,任务管理器被屏蔽不可使用(如图)。
4.病毒运行后,隐藏文件的功能被纂改,并且把文字内容也修改。那句话的全部是“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”(如图)
5.病毒利用映像劫持的技术,使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。(如图)
引用:
6.病毒把主页修改为www.baidu.com
7.会监视窗口,当在浏览器输入与"安全"或"病毒"相关的网站,病毒会把浏览器立即关闭。
8.打开浏览器会弹广告。
9.病毒会从以下地址下载更多木马
引用:
http://w.******.com/tempA.exe
http://w.******.com/tempB.exe
http://w.******.com/tempC.exe
http://w.******.com/tempD.exe
http://w.******.com/tempE.exe
http://w.******.com/tempF.exe
http://w.******.com/tempG.exe
http://w.******.com/tempH.exe
http://w.******.com/tempI.exe
http://w.******.com/tempJ.exe
http://w.******.com/tempK.exe
http://w.******.com/tempL.exe
http://w.******.com/tempM.exe
http://w.******.com/tempN.exe
http://w.******.com/tempO.exe
http://w.******.com/tempP.exe
http://w.******.com/tempQ.exe
http://w.******.com/tempR.exe
http://w.******.com/tempS.exe
http://w.******.com/tempT.exe
http://w.******.com/tempU.exe
http://w.******.com/tempV.exe
http://w.******.com/tempW.exe
10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。http://w.******.com/guanjian.txt,但是这里作者却把两个杀软的名字弄错,(不知是不是故意放卡巴和江民一马)
引用:
木马
病毒
360
瑞星
卡吧(错,应为"卡巴")
金山
毒霸
江名(错,,应为"江民")
病毒还会利用www.******.com/pu/tj.asp,进行感染量统计。(这是不是病毒商业化运营的统计系统呢?很有可能是的。)
解决方案:
该病毒的清除,是相对比较麻烦的,尽管如此,请您不要轻易格式化重装,因为病毒还会通过自动播放传播,重装后,很容易再中。
这个禽兽病毒的处理,和AV终结者病毒相似。我们需要在正常的电脑上下载AV终结者专杀,再COPY到本地计算机,运行专杀工具可修复被破坏的安全模式和映像劫持。然后,杀毒软件就可以正常使用了。
请点击这里下载AV终结者专杀
下载次数: 9321
2007-9-29 13:56
这时,再使用资源管理器浏览到金山毒霸的安装目录下(切记不要使用双击磁盘运行程序),执行uplive.exe升级金山毒霸。然后立即全盘杀毒,最后,使用金山清理专家,把病毒修改的注册表项全部修复。因为这个“禽兽”病毒还下载了很多其它病毒在IE缓存文件夹,建议,直接使用清理专家百宝箱中的垃圾文件清理,直接删除这些垃圾文件。
从这里下载金山清理专家
http://www.duba.net/ps/kav/kav_dl.shtml
谢谢,很有用
[em02]下面给大家一个该病毒的手工删除方案:
(手工清除适合有经验管理维护windows操作系统的用户,误操作可能会带来意外损失,以下手工清除方案由网友清新阳光提供,原文:http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html)
引用:
一、清除病毒主程序
下载冰刃
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
1.解压IceSword122cn.zip把Icesword.exe改名为1.com(使用AV终结者专杀后,可不用修改,既能运行)运行
切换到进程窗口,结束%system32%\crsss.exe进程
(注意是crsss.exe不是csrss.exe,一定不要搞错)
2.点击左下角文件按钮
删除如下文件%system32%\crsss.exe和每个分区下的niu.exe和autorun.inf(一定不要落下这一步)
二、修复被病毒破坏的系统
1.打开sreng启动项目,注册表。删除所有红色的IFEO映像劫持项目,并删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的 <crsss><C:\WINDOWS\system32\crsss.exe> [N/A]
2.还是使用sreng,修复任务管理器的正常使用。
步骤:系统修复-Windows Shell/IE,勾选“允许在Windows 2000/XP/Server 2003中使用任务管理器”,设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容,然后点击修复
3.sreng中系统修复-高级修复,修复安全模式
4.找一台未被感染病毒的与中毒电脑系统相同的电脑
导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容,另存为一个扩展名为reg的文件,复制到带毒电脑上,双击导入。
本贴的附件中提供这个fixhidden.reg的文件,下载后解压,在中毒后的电脑上双击就可以导入。
三、清除病毒下载的木马(由于下载的木马随时变化,所以本文中的方法仅供参考,强烈建议您使用金山毒霸升级后全面杀毒)
使用金山清理专家的文件粉碎器找到以下DLL文件,将其删除。
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll
2.打开sreng ,“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:Windows dvne RunThem / dvne
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
acpidisk / acpidisk,系统修复,高级修复,重置winsock
3.重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定,删除如下文件
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\msavp.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
c:\progra~1\yqiz文件夹
最后再次提醒大家一定要关闭电脑的自动播放功能,不要让此类恶性U盘病毒再如此肆意传播了!
也跟病毒作者说一句话,你那句话以后应该改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我禽兽不如!!!”
如何防范?
引用:
这个病毒主要通过U盘和网站浏览下载传播,请从以下几方面加强系统。
1.使用金山清理专家的漏洞扫描修复功能,解决系统漏洞带来的威胁。
2.升级杀毒软件,并保持实时监控为开启状态。
3.禁用磁盘自动播放功能,避免插入移动存储设备感染病毒。
更完整的防毒方法,请参考《简简单单防病毒》
2007-9-29 14:20, 下载次数: 1303
恢复隐藏系统文件的设置
好复杂啊,看的我都大了,不过的确专业,支持楼主和金山毒霸一下
哈哈,我还真是用金山毒霸的这个办法弄好了电脑,谢谢楼主
晕死了,这么多图。。。。也太专业了。。。。路过,顺便支持一下
魔高一尺,道高一丈啊,看来还是金山毒霸厉害。。。。。
金山毒霸不能做到程序里面自动杀毒吗?还要手动杀毒,不懂技术的人岂不是头大了好几圈?
[em07]楼上的,毒霸已经做的很不错了,对病毒不做深层次分析,怎么有杀毒的解决方案出台?毒霸对每一个病毒做深入分析才是对用户负责的体现!不像老赛,对木马的反应怎一个钝字了得,呵呵。支持金山!
曾经,有一个好贴放在我面前,如今,我又看到了它。
其实胸跟时间一样,只要挤一挤,总会有的。你的观点再提炼一下就更好了!
恩,好帖子,我顶了!OH OH~~~
[em01]这个病毒我碰到过多次,我用瑞星的卡卡进行手工清除也搞定了.这个病毒确实可恶.主要就是劫持了系统的进程,而且干掉后会再生成.一定要抑制再生成.能搞定这个,病毒就好办了!
| 欢迎光临 栖息谷-管理人的网上家园 (https://bbs.21manager.com.cn/) | Powered by Discuz! X3.2 |