這是一個使用VB編寫的病毒。可以通過隨身碟等移動存儲傳播。修改執行檔圖示,映像劫持防毒軟體...
1.病毒啟動後,釋放如下檔案或者副本
%systemroot%\system32\soleboy.exe%systemroot%\system32\soleboy.txt
各個分區根目錄下生成soleboy.exe和autorun.inf達到隨移動存儲傳播的目的。
2.試圖結束一些安全工具的進程
比如procexp.exe隨身碟病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
3.映像劫持如下防毒軟體和安全工具:
360Safe.exe360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
ahnsd.exe
Ahnsdsv.exe
ALUSCHEDULERSVC.EXE
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naprdmgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
vstskmgr.exe
劫持到%systemroot%\system32\soleboy.exe
4.添加註冊表啟動項目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy:"%systemroot%\system32\soleboy.exe"達到開機啟動自身的目的
5.修改com和exe檔案的檔案關聯指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\:"soleboy.exe"%1"%*"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\:"soleboy.exe"%1"%*"
6.修改exe的圖示關聯指向soleboy.exe,使得所有exe圖示變成小狗圖案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon:"soleboy.exe"
7.查找帶有如下字樣的視窗找到後利用sendmessage函式傳送WM_CLOSE命令關閉視窗
瑞星反病毒資訊網[信息安全源自瑞星]-WindowsInternetExplorer
Windows任務管理器
註冊表編輯器
江民進程查看器
歡迎光臨江民科技[網路安全,選擇江民]-WindowsInternetExplorer
金山毒霸信息安全網-免費下載防毒軟體-WindowsInternetExplorer
卡巴斯基實驗室:反病毒軟體,反間諜程式,垃圾郵件過濾-WindowsInternetExplorer
360安全衛士-WindowsInternetExplorer
防病毒、反間諜軟體、端點安全、備份、存儲和遵從解決方案-賽門鐵克公司-WindowsInternetExplorer
大型企業-趨勢科技中國-WindowsInternetExplorer
東方微點-WindowsInternetExplorer
...
8 刪除%systemroot%\system32\taskkill.exe
9.作者在soleboy.txt中寫道:
Iwanttogotouniversity.
IthinkJiangminAntivirusSoftwareisthebestsecuritysoftware!
Don'tworry,Iwon'tdestroyyourdata.
解決方法:
下載sreng,Icesword
sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
已經安裝winrar的請打開winrar的安裝路徑找到winrar.exe把他改名為winrar.bat雙擊運行
然後單擊winrar選單欄“檔案”按鈕打開壓縮檔案