| 网站首页 | 新闻 | 技术 | 下载 | 图片 | 电子书 | 维修图纸 | 笔记本 | 手机软件 | 维修视频 | 驱动 | 论坛 | 免费杀毒 | 常用软件 | 
 

RSS

收藏本站

设为首页
   
  您现在的位置: 龙腾电脑维修网 >> 技术 >> 病毒防治 >> 病毒解决方案 >> 文章正文AUTO病毒群分析以及解决方案
 AUTO病毒群分析以及解决方案 【字体:

AUTO病毒群分析以及解决方案
来源:网络转载 作者:未知
磁碟机病毒在各安全厂商和媒体的一致喊打声中突然销声匿迹,但这仅仅是盗号集团的暂时退却,很快,我们发现又一类利用配置autorun.inf配置自动运行的木马下载者蜂涌而至,同样,这些疯狂的下载者,可一次性下载20-30个盗号木马,用户的电脑将面临又一次蹂躏。

  以下是这两天极度猖獗的AUTO病毒最新变种的分析报告:

  一.行为概述

  该EXE是病毒下载器,它会:

  1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名。

  2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。

  3) 在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。

  4) 修改系统键值,将系统隐藏文件选项删除,造成用户无法查看隐藏起来的病毒文件。

  5) 修改系统注册表,将自己注册为服务开机启动。

  6) 搜索注册表启动项里是否有“360”字符串键值,有了删除,并用ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE, 有则修改系统时间,使得卡巴失效。

  7) 通过网站文件列表下载其它病毒。

  8) 删除该病毒以前版本遗留的注册表信息。

  9) “随机名.dll” 会远程注入系统进程中的所有进程

  二.执行流程

  1. 参考C 盘卷序列号的数值算出8 位随机的服务名,exe 和dll 的文件名。(还记得AV终结者吗?最开始出来就是随机8位数文件名的EXE)

  2. 搜索当前文件名是不是auto.exe,若是调用explorer.exe ShellExecuteA 打开驱动器。

  3. 对抗杀毒软件:

  搜索注册表启动项里是否有“360”字符串键值,有则删除,使得360以后都无法自动启动。并紧接着关闭已启动的360程序。

  检查当前进程中有没有卡巴斯基的进程AVP.EXE ,有的话修改系统时间,令依赖系统时间进行激活和升级的卡巴失效。

  病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口"KAVStart" ,找到后通过PostMessageA 发送CLOSE 消息,然后用FindWindowExA 搜索"金山毒霸" 通过SendMessageA 发送关闭消息,以及模拟用户,发送点击鼠标按键消息关闭。不过,经测试以上方法都不能关闭金山毒霸。

  4. 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名,不是则复制自身副本到系统SYSTEM32 。

  5. 将DLL注入系统进程,运行之后释放det.bat 删除自身

  6. 病毒文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己,实现隐蔽运行。

  7. 查找启动项里是否有包含360 的字符串,有了删除,并用SeDebugPrivilege 提升权限和ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。

  8.篡改注册表中关于文件夹显示状态的相关数据,将系统隐藏文件选项删除。

  9. 病毒查找老版本的自己留下的注册表信息,将其删除,便于进行升级。

  10. 从病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下载病毒列表,根据列表信息去下载其它病毒,每次下载一个,运行后删除,再接着下载。

  在它下载的病毒文件中,有木马自己的升级文件和某国际知名品牌的网络语音通讯软件,另外还包含17个针对不同知名网游的盗号木马,而在这些木马中,有一些其本身也具备下载功能。如果它们成功进入电脑,将引发无法估计的更大破坏。

  11.除在本机上进行盗号,病毒还将自己的AUTO病毒文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含毒磁盘,病毒就会立即运行,搜索包含U盘等移动存储器在内的全部磁盘,如果发现有哪个磁盘尚未中毒,就立刻将其感染,扩大自己的传染范围。

  三.删除方法

  由于病毒DLL 文件远程注入包括系统进程在内的所有进程,采取直接删除的办法是无法彻底清楚的,必须删除DLL,同时删除服务,重起,在进行扫尾删除,由于该病毒换算需要大量时间,在刚开机时不能马上释放DLL 进行注入,此时也是清除的最佳时机。

  建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE,添加到文件粉碎器的删除列表,将这些文件一次性彻底删除。重启后,再修复残留的注册表加载项。

  四.Auto病毒专杀工具

  auto木马群专杀1.4功能:

  1、对映像劫持的处理

  2、对使毒霸监控变灰的msosXXX病毒的处理

  3、对auto木马群下载者处理

  4、对Appinit_Dlls处理

  5、对执行挂钩的处理
收藏此文到百度搜藏 百度搜藏
 
  • 上一篇文章:
  • 下一篇文章: 没有了
    		•
    AUTO病毒群分析以及解决方案相关文章
    病毒导致输入法无效的处理方法
    史上最牛的三大病毒结局大盘点
    互联网"艾滋病"恐慌! 磁碟机解决方案
    磁碟机病毒的前世今生
    存于网页中的5种隐形病毒详细说明
    		 
     
    推荐文章
      普通文章 AUTO病毒群分析以及解决方案 (4月17日)
    普通文章 病毒导致输入法无效的处理方法 (4月17日)
    普通文章 互联网"艾滋病"恐慌! 磁碟机解决 (3月26日)
    普通文章 清除系统隐藏病毒文件全攻略 (3月14日)
    普通文章 预防电脑病毒防止中毒八个忠告 (3月11日)
    普通文章 安全解析病毒免杀技术 (3月10日)
    普通文章 中毒后六大紧急措施 (2月27日)
    普通文章 扼杀传播病毒的恶意网页 (2月24日)
    普通文章 最有效防病毒方法 杀毒软件使用技 (2月22日)
    普通文章 从容对付计算机病毒的三大酷招秘 (2月21日)
    热门文章
      普通文章 AUTO病毒群分析以及解决方案 (4月17日)
    普通文章 病毒导致输入法无效的处理方法 (4月17日)
    普通文章 互联网"艾滋病"恐慌! 磁碟机解决 (3月26日)
    普通文章 清除系统隐藏病毒文件全攻略 (3月14日)
    普通文章 预防电脑病毒防止中毒八个忠告 (3月11日)
    普通文章 安全解析病毒免杀技术 (3月10日)
    普通文章 中毒后六大紧急措施 (2月27日)
    普通文章 扼杀传播病毒的恶意网页 (2月24日)
    普通文章 最有效防病毒方法 杀毒软件使用技 (2月22日)
    普通文章 从容对付计算机病毒的三大酷招秘 (2月21日)
    公司简介 -联系方法 -合作伙伴 -RSS订阅 -意见反馈-版权声明 

    @ 2006-2008龙腾电脑 版权所有. ALL RIGHTS RESERVED.

    浙ICP备05046531号