|
|
|
时间:2009年08月24日
超级巡警团队监测到木马下载者Worm.Win32.AutoRun.afcb正在传播,该病毒运行后会将自身复制到系统目录下并删除自己;修改注册表项 以随机启动病毒体;镜像劫持各大杀毒软件;下载大量木马到TEMP文件夹下并运行;修改注册表以修改IE首页;将病毒体添加为系统服务。超级巡警建议用户 使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效地查杀。
一、病毒相关分析
病毒标签:
病毒名称:Trojan-Downloader.Win32.Geral.cjt
病毒类型:木马类
危险等级:3
感染平台:windows
病毒大小:59,636字节
S H A 1 :6c30930f869d813f6ae0e775f4f51c56faabc9aa
加壳类型:upack
开发工具:delphi
病毒行为:
1、释放病毒副本:
释放ming9b090423.exe、nb9ming32c090423.dll释放到%windir%\system下,并设置其属性为隐藏;
释放ming9atmpdf0.exe、6to4.dll到%system%下。
2、将各种杀毒软件劫持scvhost.exe,阻止杀软的运行 Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,RegClean.exe,rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,runiep.exe,safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,xsweep.exe,Syscheck2.exe,findt25.exe,SREngPS.exe,smartassistant.exe,rfwolusr.exe,AutoGuarder.exe,arvmon.exe,ravt8.exe,killhidepid.exe,kvfw.exe,syscheck.exe,IsHelp.exe,RavStore.exe,ToolsUp.exe,RavCopy.exe,36safebox.exe,safebank.exe,safeboxTray.exe,36hotfix.exe,AntiArp.exe,RsMain.exe,RSTray.exe,ScanFrm.exe,rsnetsvr.exe。
3、添加注册表项来随机自启动:
注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer un
数值名称:ming9bstart
数值数据:C:\WINDOWS\system\ming9b090423.exe
4、修改注册表项来篡改IE首页:
注册表项:HKCU\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据:http://www.114****s.com/
5、修改注册表项来到达无法显示隐藏文件
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedValue
数值数据:0
6、注册系统服务:
将6to4.dll注入IE进程,并注册为系统服务6to4,以此达到随机启动且能进程隐藏。
7、下载大量木马到TEMP文件夹下:
访问http://www.114****s.com/msn/qq.txt获取下载列表,然后下载大量木马并运行。
8、将衍生出来的大量的DLL文件注入各个进程。
9、删除病毒自身文件。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/2009/0214/4.html 。
手工清除方法:
1、断开网络,防止杀毒过程中重新下载新的病毒
2、结束病毒进程:
iexplore.exe
3、使用超级巡警修复被木马映象劫持的所有项。
4、使用超级巡警暴力文件删除器删除病毒文件:
删除%windir%\system下的ming9b090423.exe、nb9ming32c090423.dll;
删除%system%下的ming9atmpdf0.exe、6to4.dll;
删除%system%下当日创建的带隐藏属性且是长字符串的dll文件。
注意:在删除过程中请选上删除对应延迟删除信息、不删除有数字签名的文件、删除前强制卸载模块。
5、删除启动项:
注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer un
数值名称:ming9bstart
数值数据:C:\WINDOWS\system\ming9b090423.exe
6、修改注册表项来恢复隐藏文件:
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedValue
数值数据:1
然后在文件夹选项中的查看里面选上显示所有文件和文件夹。
7、修改注册表来恢复IE首页:
注册表项:HKCU\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据:about:blank
8、删除系统服务6to4:
打开超级巡警工具箱,选择服务管理,删除服务6to4。
9、重启计算机。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
10、不要随意下载不安全网站的文件并运行。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%
\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区 |
|
|
发表于 2009-11-12 17:56
楼主
