我們以前曾經提過,某些不懷好意的人將木馬捆綁進艷照門的相關照片中傳播,也有的在相關照片下載網站植入木馬。最近,金山毒霸全球反病毒監測中心監測到另一種利用“艷照門”主角照片傳播的病毒正在加速傳播。該病毒是一個木馬下載器,會通過U盤、移動硬盤傳播,同時會通過QQ聊天窗口發送病毒文件。該病毒的這些特點,很可能導致短期內傳播量加劇。
病毒特點
該病毒通過給 QQ 好友發送“陳冠希原版相片.rar”來進行傳播,自身通過鏡項劫持安全軟件和在驅動器下建立 autorun.inf 來自啟動,並下載 40 多種病毒木馬。結束安全軟件進程,並修改系統時間。修改注冊表破壞安全模式登錄,影響顯示隱藏文件。
病毒分析
1.創建自動運行文件,在各磁盤根目錄會發現explorer.pif 和autorun.inf文件
2.嘗試關閉以下安全軟件的進程
Safe.exe﹔ 360tray.exe﹔VsTskMgr.exe﹔Runiep.exe﹔RAS.exe﹔UpdaterUI.exe﹔TBMon.exe﹔ KASARP.exe﹔scan32.exe﹔VPC32.exe﹔VPTRAY.exe﹔ANTIARP.exe﹔KRegEx.exe﹔ KvXP.kxp﹔kvsrvxp.kxp﹔kvsrvxp.exe﹔KVWSC.EXE﹔Iparmor.exe﹔AST.EXE
3.向QQ聊天窗口發送陳冠希原版相片.rar的病毒文件,該壓縮包充分利用了社會工程學原理進行欺騙,雙擊就會中招。
4.修改系統時間為2002年
5.嘗試停止安全軟件的服務
6.將自身拷貝到"C:\WINDOWS\system32\wuauc1t.exe",並將屬性改為系統隱藏。
7.通過http://www.***.com/下載大量盜號木馬
8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"的 CheckedValue項改為 0(默認為1),破壞顯示隱藏的系統文件
9.刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \,來破壞安全模式,導致無法啟動系統到安全模式來殺毒。
10.映像劫持以下安全軟件為
"C:\WINDOWS\system32\wuauc1t.exe",使得運行以下軟件時,實際執行的是病毒程序。360rpt.EXE﹔ 360safe.EXE﹔360tray.EXE﹔AVP.EXE﹔AvMonitor.EXE﹔CCenter.EXE﹔IceSword.EXE﹔ Iparmor.EXE﹔KVMonxp.kxp﹔KVSrvXP.EXE﹔KVWSC.EXE﹔Navapsvc.EXE﹔Nod32kui.EXE﹔ KRegEx.EXE﹔Frameworkservice.EXE﹔Mmsk.EXE﹔Wuauclt.EXE﹔Ast.EXE﹔ WOPTILITIES.EXE﹔Regedit.EXE﹔AutoRunKiller.exe﹔VPC32.exe﹔VPTRAY.exe﹔ ANTIARP.exe﹔KASARP.exe﹔QQDOCTOR.EXE
解決辦法
1.使用進程管理器關閉 IEXPLORE.EXE、wuauc1t.exe、explorer.pif進程。
2.將金山清理專家主程序KASMAIN.EXE重命名,再執行。然后修復鏡項劫持、安全模式、和隱藏文件選 項
3.刪除以下文件:
%windir%\system32\wuauc1t.exe
%TempPath%\ 陳冠希 原 版 相片 .rar
c:\sys.pif
c:\1~40.pif
%windir%\system32\syurl.dll
各驅動器下的explorer.pif和 autorun.inf
沒有留言:
張貼留言