恭喜,中了最新的蠕虫病毒!!
瑞星网站上查到的信息:
这是一个蠕虫病毒,采用FSG 2.0 -> bart/xt进行保护
病毒运行后,先将四串加密后的字符串进行解密,得到如下的网址:http://218.61.17.233/haohao.exe,http://218.61.17.233/wei.exe
http://218.61.17.233/weiwei.exe,http://218.61.17.233/11.exe.然后利用GetSystemDirectory得到%SYSTEM32%目录.病毒遍历当前系统进程,查找 "360tray.exe","360safe.exe","runiep.exe","avp.exe"一旦发现这四个进程存在,则利用OpenProcess得到该进程的句柄,再使用TerminateProcess将进程关闭.
病毒会利用SetLocalTime将系统时间调整为2005年,目前这个方法是对付卡巴最通用的招数.然后再创建一个线程,该线程的作用就是使用FindWindow查找"卡巴"和"病毒"这两个窗口,一旦发现则使用PostMessage发送WM_Close消息关闭窗口.
病毒将自身复制到%SYSTEM32%目录中,并更名为"chostsb.exe",并使用SetFileAttributesA将该文件的属性改为隐藏和系统.接下来,病毒使用InternetGetConnectedState检测当前系统的网络状态,并创建一个线程.该线程的作用就是修改注册表内'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File ExecutionOptions子键下的360rpt.exe,360Safe.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,
autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,CCenter.exe,
ccSvcHs,.exe,FileDsty.exe,FTCleanerShell.exe,HijackThis.exe,IceSword.exe,
iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.S,R,KASMain.exe,
KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,
KAVStart.exe,KISLnchr.exe,MailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,
KPFWSvc.exe,KRegEx.exe,KRepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,
KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,
KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KWatch.exe,
KWatch9x.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,
mmsk.exe,NAVSetup.exe,nod32krn.exe,nod32kui.exe,PFW.exe,PFWLiveUpdate.exe,
QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,
RegClean.exe,rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,
Rsaupd.exe,safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,
symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,
UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,
UmxPol.exe,UpLive.EXE,WoptiClean.exe,zxsweep.exe在以上子键内添加"Debugger"项,将键值的路径设置成为病毒的路径,这样当用户运行以下程序时,就会先启动病毒.
病毒会用Winexec运行如下命令行,关闭一些预警方法,
cmd.exe /c net stop sharedaccess
sc.exe stop alg
sc.exe stop SharedAccess
sc.exe config Alg start= disabled
sc.exe config SharedAccess start= disabled
病毒使用SetTimer在其中的CallBack回调函数中做了如下事情:
1.病毒使用EnumWindow遍历窗口,使用GetWindowTextA得到窗口的Caption,当发现有: "防火墙" "卡卡""江民" "金山" "木马清道夫" "超级巡警" "NOD32核心" "安全" "木马杀客" "NOD32 内核" "主线程""**"的字样时,就会向这些窗口发送WM_Close,WM_Quit,WM_ClickActive消息,关闭这些杀软的进程.
2.病毒使用CreateProcess启动spoolsv.exe进程
3.创建一个线程,打开刚启动的spoolsv.exe进程,使用WriteProcessMemory将自身写入到该进程中
最后病毒,将自身和autorun.inf写到本地和可移动储存设备当中.其中autorun.inf的内容为:
[autorun]
shell\\open=打开(&O)
shell\\open\\Command=sbl.exe
shell\\open\\Default=1
shell\\explore=资源管理
shell\\explore\\command=sbl.exe
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.19.11版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
可是瑞星都打不开,怎么杀啊。帮你顶!请高手大虾救命!!
补充一句,一旦我找到病毒文件,我的电脑就死机,不知道是不是病毒作怪!
p_�¨öY+·Cbbs.ikaka.comïê�U°¥���
