这个病毒在我校BBS最近频繁出现,没想到被我撞上
我的机器较老,所以没装SP2,又偏爱IE,就打上最新SP一直用着。
今晨浏览网页时,突然闪过黑色的DOS窗口,心知不妙,中招了。
运行msinfo32,果然发现可疑模块systemlr.dll
运行hijackthis,04-自动运行项多了三项 ntdhcp.exe explorer.exe lsass.exe,查看各进程,非系统进程都多了systemlr.dll模块。EXE关联被修改,而且并非常见的修改exifle\shell\command键,而是修改.exe键指向模仿exefile的winfiles。
运行ICESWORD,文件查看c:\windows c:\windows\system32
按修改时间排列,果然,在中毒时间,多出了N个文件.
有了病毒文件样本,按照其大小搜索硬盘,发现
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
显然和IE有关,在注册表里搜索以上项,发现其修改了HTML文件关联和开始菜单左快上方IE快捷方式。
病毒很狡猾,只在D盘上劫持了系统自动播放功能。
在d:\放置autorun.inf command.com(隐藏)
此外还包括
c:\windows
\exert.exe kb2105312.log
c:\windows\system32
\ntdhcp.exe dxdiag.com msconfig.com regedit.com
总结病毒采用的招数有:
初级招数:修改系统启动项;利用扩展名的优先顺序,冒充regedit,msconfig,dxdiag程序
中级招数:修改EXE关联;劫持硬盘分区自动播放;在系统正常EXPLORER.EXE进程中插入病毒线程;劫持HTM文件打开方式和开始菜单的快捷表;修改appinit_dll键
高级招数:没有。没有ROOTKIT技术。
处理过程:
因为病毒招数很多,所以应该注意处理过程,先运行一个注册表修复软件,如瑞星公司提供的。
然后使用ICESWORD,结束LSASS.EXE anskya2.exe ntdhcp.exe进程
使用修复软件修复EXE关联,或手工用ICESWORD修复
用ICESWORD文件查看功能,打开c:\windows,按修改时间排列文件,删除exert.exe及其他同
时间的文件。同样的,对c:\windows\system32操作,寻找ntdhcp.exe及与其等相同时间文
件。
在开始菜单运行regedit.exe
修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints
2,若其下某键含shell\command(注意不是shell\autoplay),删掉该shell,也即 使分区自
动播放功能失效。删除有关系统启动项.
在整个注册表搜索intexplore.com 和 intexplore.pif ,
修改intexplore.pif为iexplore.exe
修改intexplore.com有关键值为C:\Program Files\Internet Explorer\iexplore.exe
使用hijackthis,修复appinit_dll项
之后重启,删除其他有关文件。注意它们都是隐藏文件,尤其是各分区根目录下。
用ICESWORD监控重新打开该网页,发现病毒样本,18.6K,已经上报
