病毒描述
該病毒屬木馬類,病毒圖示為文本文檔圖示,用以迷惑用戶點擊運行。病毒運行後複製自身到 %system32% 下三個病毒檔案,檔案名稱分別為 hpxger.exe 、 severe.exe 、 verclsid.dat ,並釋放病毒檔案 hpxger.dll ,複製自身到 %system32%\drivers 下,病毒名為 nvhcnd. com ;在非系統盤根目錄下(不包括移動設備)複製自身檔案名稱為 OSO.exe ,釋放病毒檔案 autorun.inf ;修改註冊表,添加啟動項,以達到隨機啟動的目的;系統中的某些軟體被其映像劫持;修改 hosts 檔案,禁止對病毒運行有威脅的網站;鎖定對隱藏檔案的顯示,使用戶無法查看並刪除具有隱藏屬性的病毒檔案。行為分析
1 、 病毒運行後複製自身到 %system32% 及其附屬資料夾下%system32%\drivers\nvhcnd. com
%system32%\hpxger.dll
%system32%\hpxger.exe
%system32%\severe.exe
%system32%\verclsid.dat
% 非系統盤根目錄 %\ oso.exe
% 非系統盤 根目錄 % \ autorun.inf
2 、 修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新鍵值 : 字串 : "Shell"="Explorer.exe C:\WINNT\system32\severe.exe"
舊鍵值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "nvhcnd"="C:\WINNT\system32\hpxger.exe"
3 、 修改 hosts 檔案,禁止對病毒運行有威脅的網站。
4 、 映像劫持一些對其有威脅作用的軟體 :
註冊表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\% 被映像劫持的軟體的執行檔案的檔案名稱稱 %\Debugger
鍵值 : 字元串 : "C:\WINNT\system32\drivers\nvhcnd. com"
(被劫持軟體見附錄)
5 、 鎖定對隱藏檔案的顯示,使用戶無法查看並刪除具有隱藏屬性的病毒檔案。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新鍵值 : 字串 : "0"
舊鍵值 : DWORD: 1 (0x1)
註: %system32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 system32 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程
(2) 刪除病毒檔案:
%system32%\drivers\nvhcnd. com
%system32%\hpxger.dll
%system32%\hpxger.exe
%system32%\verclsid.dat
% 非系統盤根目錄 %\ oso.exe
% 非系統盤 根目錄 % \ autorun.inf
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項 。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "nvhcnd"="C:\WINNT\system32\hpxger.exe"
恢復註冊表原鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon
新鍵值 : 字串 : "Shell"="Explorer.exe C:\WINNT\system32\severe.exe"
舊鍵值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新鍵值 : 字串 : "0"
舊鍵值 : DWORD: 1 (0x1)
註:在對顯示隱藏檔案的鎖定鍵值進行修改時,由於病毒改變了該鍵的數據類型,更改時,須將原“字串”類型的鍵刪除,再創建“ DWORD ”類型的鍵並附值。
