AUTO病毒群

磁碟機病毒在各安全廠商和媒體的一致喊打聲中突然銷聲匿跡,但這僅僅是盜號集團的暫時退卻,很快,我們發現又一類利用配置autorun.inf配置自動運行的木馬下載者蜂湧而至,同樣,這些瘋狂的下載者,可一次性下載20-30個盜號木馬,用戶的電腦將面臨又一次蹂躪。

行為概述

該EXE是病毒下載器,它會:

1) 參考系統C糟卷序列號來算出服務名,EXE 和DLL 的檔案名稱。

2) 在每一個驅動器下放置AUTO病毒autorun.inf 和自身副本auto.exe 並加系統和隱藏屬性。

3) 在系統system32 下放置自身副本“隨機名.exe ”和釋放出來的“隨機名.dll” 並將它們偽裝成具有隱藏屬性的系統檔案。

4) 修改系統鍵值,將系統隱藏檔案選項刪除,造成用戶無法查看隱藏起來的病毒檔案。

5) 修改系統註冊表,將自己註冊為服務開機啟動。

6) 搜尋註冊表啟動項里是否有“360”字元串鍵值,有了刪除,並用ntsd 關閉程式,搜尋視窗是否含有“金山毒霸”,有了模擬操作關閉。判斷進程里是否有卡巴斯基的檔案AVP.EXE, 有則修改系統時間,使得卡巴失效。

7) 通過網站檔案列表下載其它病毒。

8) 刪除該病毒以前版本遺留的註冊表信息。

9) “隨機名.dll” 會遠程注入系統進程中的所有進程

執行流程

1. 參考C 盤卷序列號的數值算出8 位隨機的服務名,exe 和dll 的檔案名稱。(還記得AV終結者嗎?最開始出來就是隨機8位數檔案名稱的EXE)

2. 搜尋當前檔案名稱是不是auto.exe,若是調用explorer.exe ShellExecuteA 打開驅動器。

3. 對抗防毒軟體:

搜尋註冊表啟動項里是否有“360”字元串鍵值,有則刪除,使得360以後都無法自動啟動。並緊接著關閉已啟動的360程式。

檢查當前進程中有沒有卡巴斯基的進程AVP.EXE ,有的話修改系統時間,令依賴系統時間進行激活和升級的卡巴失效。

病毒還會試圖關閉金山毒霸它查找毒霸的監視提示視窗"KAVStart" ,找到後通過PostMessageA 傳送CLOSE 訊息,然後用FindWindowExA 搜尋"金山毒霸" 通過SendMessageA 傳送關閉訊息,以及模擬用戶,傳送點擊滑鼠按鍵訊息關閉。不過,經測試以上方法都不能關閉金山毒霸。

4. 比較當前檔案運行路徑是不是在系統SYSTEM32 下的隨機名,不是則複製自身副本到系統SYSTEM32 。

5. 將DLL注入系統進程,運行之後釋放det.bat 刪除自身

6. 病毒檔案注入explorer.exe 或winlogon.exe 循環等待,利用它們的空間運行自己,實現隱蔽運行。

7. 查找啟動項里是否有包含360 的字元串,有了刪除,並用SeDebugPrivilege 提升許可權和ntsd 關閉程式,搜尋視窗是否含有“金山毒霸”,有了模擬操作關閉。

8.篡改註冊表中關於資料夾顯示狀態的相關數據,將系統隱藏檔案選項刪除。

9. 病毒查找老版本的自己留下的註冊表信息,將其刪除,便於進行升級。

10. 從病毒作者指定的地址***id*8.cn/soft/update.txt 下載病毒列表,根據列表信息去下載其它病毒,每次下載一個,運行後刪除,再接著下載。

在它下載的病毒檔案中,有木馬自己的升級檔案和某國際知名品牌的網路語音通訊軟體,另外還包含17個針對不同知名網遊的盜號木馬,而在這些木馬中,有一些其本身也具備下載功能。如果它們成功進入電腦,將引發無法估計的更大破壞。

11.除在本機上進行盜號,病毒還將自己的AUTO病毒檔案auto.exe 和autorun.inf 釋放到每一個磁碟分區里。autorun.inf 指向auto.exe。只要用戶用滑鼠雙擊含毒磁碟,病毒就會立即運行,搜尋包含隨身碟等移動存儲器在內的全部磁碟,如果發現有哪個磁碟尚未中毒,就立刻將其感染,擴大自己的傳染範圍。

刪除方法

由於病毒DLL 檔案遠程注入包括系統進程在內的所有進程,採取直接刪除的辦法是無法徹底清楚的,必須刪除DLL,同時刪除服務,重起,在進行掃尾刪除,由於該病毒換算需要大量時間,在剛開機時不能馬上釋放DLL 進行注入,此時也是清除的最佳時機。

建議用戶使用金山清理專家將這些隨機8位數命名的DLL和EXE,添加到檔案粉碎器的刪除列表,將這些檔案一次性徹底刪除。重啟後,再修復殘留的註冊表載入項。

四.Auto病毒專殺工具

auto木馬群專殺1.4功能:

1、對映像劫持的處理

2、對使毒霸監控變灰的msosXXX病毒的處理

3、對auto木馬群下載者處理

4、對Appinit_Dlls處理

5、對執行掛鈎的處理

下載地址:

相關詞條

相關搜尋

熱門詞條

聯絡我們