.Tag214
前段时间帮朋友整机器,发现以下病毒比较典型,现整理一下供杀毒参考
1、Worm.Viking.m(威金蠕虫病毒)
2、感染的tel.xls.exe mmc.exe 解决方案
3、流氓软件My123
4、sxs.exe病毒手动删除方法
5、手工清除QQ尾巴
6、6、1.exe 2.exe 3.exe 4.exe病毒解决办法
1、Worm.Viking.m(威金蠕虫病毒)
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE ~
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\ "
"ver_down1"="[boot loader]
timeout=30
[operating systems] dngz.net您的电脑医生
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
金山专杀工具:
http://db.kingsoft.com/download/3/246.shtml
瑞星专杀工具:
http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
2、感染的tel.xls.exe mmc.exe 解决方案
档案编号:CISRT2006083
病毒名称:Virus.Win32.Dzan.a(Kaspersky)
清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky)
病毒别名:Worm.Suser.a(瑞星)
病毒大小:110,592 字节
清除Virus.Win32.Dzan.a后:45,056 字节
加壳方式:N/A
样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可移动存储设备(如U盘、MP3、移动硬盘)
技术分析
==========
这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。
tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样,运行后复制自身到系统目录:
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
创建启动项:
[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本:
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本:
%Windows%\BACKINF.TAB (www.dngz.net)为您排除一切电脑故障
autorun.inf内容:
[Copy to clipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。
修改注册表破坏“显示所有文件和文件夹”设置:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒(Virus.Win32.Dzan.a)感染,导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。
创建服务:
QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名:Smart Card Supervisor
可执行文件的路径:%System%\mmc.exe
mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框(如图):
mmc.exe大小61440字节,被感染exe文件增加大小61952字节,是mmc.exe自身大小再加512字节,被感染exe文件运行后会释放mmc.exe运行。
病毒文件如图:
清除步骤
==========
1. 结束病毒进程:
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe
2. 删除病毒文件:
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe
3. 通过磁盘驱动器右键菜单进入根目录:右键点击驱动器盘符,点击菜单中的“打开”进入驱动器根目录,删除根目录下的文件:
X:\autorun.inf
X:\tel.xls.exe
4. 删除病毒启动项和服务:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
dngz.net版权所有
"ASocksrv"="SocksA.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件
注:今天上午测试,Kaspersky(卡巴斯基)和瑞星(Rising)可以基本清除被感染exe文件
7. 从正常的相同的操作系统里复制%System%\mmc.exe,用以恢复系统“管理控制台”功能
3、流氓软件My123
恶意程序My123
这是一个使用[C ]编写的, 使用驱动保护的恶意程序.
系统被感染后, 打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/.
通过其他恶意程序或者自身下载升级下载并得到执行.
该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式
1. 恶意软件的升级
首先下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.
http://dl.hao318.com/dl/mspalnt1.ini
http://dl.hao318.com/dl/mspalnt2.ini
http://dl.hao318.com/dl/mspalnt3.ini
2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)
3. 创建注册表项
HKEY_LOCAL_MACHINE\Software\wsword
HKEY_LOCAL_MACHINE\Software\mspalnt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow
%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer
4. 会安装驱动进行自我保护
手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件,并解决开机自动弹出我的文档故障!
手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件,并解决开机自动弹出我的文档故障!
手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件,并解决开机自动弹出我的文档故障!
,
今天将U盘插入电脑,双击U盘竟然提示要用别的方式打开,退出时退不了,打开进程管理器发现多了wsctf.exe和EXPLORER.EXE,用msconfig查看发现了两个启动项目wsctf.exe和EXPLORER.EXE。
在C盘直接搜索无法搜索出wsctf.exe和EXPLORER.EXE;
直接进入C:\WINDOWS\system32下面搜索可以出来:wsctf.exe和EXPLORER.EXE。
调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程,然后shift del删除wsctf.exe和EXPLORER.EXE。
然后,运行-msconfig-启动,删了上面的两个启动。
最后在注册表里查找这两个文件的表值并删除,注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象E盘F盘之类).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE
应修改为如下:
Userinit = C:\WINDOWS\system32\userinit.exe,
4、sxs.exe病毒手动删除方法
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。
请大家增强防病毒的意识.现在大家对SXS.EXE的病毒每天浏览量大家也是看到的.每天都是三四百的.
不知这篇文章对您是否有用.
下面给大家一个正版的瑞星的序列号:(请到瑞星的官方网站下载安装http://update.rising.com.cn/register/pcver/upgrade.htm后安装.可以在线升级的.
序列号:
D04E2G-B813GK-2RALSC-TI5200
4axddayfu14a (2006-08-29 22:00)
重装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开
找了网上许多方法,无法有效删除,并且没有专杀工具
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl Alt Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件 本文来自(www.dngz.net)
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。也可以使用搜索整个硬盘,但是一定记得"在高级选项"中把"搜索隐藏的文件和文件夹"打勾哟.
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
如果瑞星计算机监控无法打开,或者打开后是收着的小红伞,并且所有的监控开启都失败,那么到“控制面板”-“管理工具”-“服务”,找到“Rising Process Communication Center”,应该是被禁用了,右键“属性”,启动类型一项改为“自动”,然后启用该服务。
据有些网友说.此autorun.inf文件不同.可能是变种的.至少autorun.inf这一段是相同的.有的是:autorun.inf.****.这个****可能不同.请在下面加上即可
2006-08-25 16:25加入
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe ,
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
木马 winup.exe 彻底删除方法
木马 winup.exe经常和“很棒小秘书”一同出现,所以也要一起清除。
1、 在IE的工具里点"管理加载项",禁用Downloadvalue Class , EyeOnIe Class ,
URLMonitor Class
2、在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll
xpieknl.dll winup.exe
3、在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键
在msconfig里面还有一个可疑的东西:msstart.exe 在任务管理器里干掉msstart的进程, 然后再到system32目录下delete掉msstart.exe这个文件。
5、手工清除QQ尾巴
QQ尾巴在前段时间大出风头,中该病毒的用户,会给在线的QQ好友自动发一些假消息,诱惑用户点击一个网站,如果你点击了该链接就会被这个病毒感染,然后你再给别的用户发这种消息,所以QQ尾巴能够迅速传播。我们除了用专杀工具杀毒外,也可以用手工来清除这种病毒:
第一步:
打开“文件夹选项”对话框,在“查看”选项卡中,把“高级设置”中的“文件和文件夹”下的“隐藏文件”项,设置为“显示所有文件”。
第二步:
打开“查找文件和文件夹”对话框,在名称栏中输入“