win32病毒群

win32病毒群為Windows平台下集成執行檔感染、網路感染、下載網路木馬或其它病毒的複合型病毒,病毒運行後將自身偽裝成系統正常檔案,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過執行緒注入技術繞過防火牆的監視,連線到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉區域網路的所有可用共享,並嘗試通過弱口令方式連線感染目標計算機。

原理

運行過程過感染用戶機器上的執行檔,造成用戶機器運行速度變慢,破壞用戶機器的執行檔,給用戶安全性構成危害。

病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。

1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:

%SystemRoot%\rundl132.exe

2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:

%SystemRoot%\logo_1.exe

3、同時病毒會在病毒資料夾下生成:

病毒目錄\vdll.dll

4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:

_desktop.ini (檔案屬性:系統、隱藏)。

5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts檔案。

6、病毒通過添加如下註冊表項實現病毒開機自動運行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"load"="C:\\WINNT\\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C:\\WINNT\\rundl132.exe"

7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後傳送訊息關閉該程式。

8、枚舉以下防毒軟體進程名,查找到後終止其進程:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:

net stop "Kingsoft AntiVirus Service"

10、傳送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,

枚舉區域網路所有共享主機,並嘗試用弱口令連線\\IPC$、\admin$等已分享資料夾,連線成功後進行網路感染。

11、感染用戶機器上的exe檔案,但不感染以下資料夾中的檔案:

system

system32

windows

Documents and settings

system Volume Information

Recycled

winnt

Program Files

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:

Explorer

Iexplore

找到符合條件的進程後隨機注入以上兩個進程中的其中一個。

13、當外網可用時,被注入的dll檔案嘗試連線以下網站下載並運行相關程式:

http://www.17**.com/gua/zt.txt 保存為:c:\1.txt

http://www.17**.com/gua/wow.txt 保存為:c:\1.txt

http://www.17**.com/gua/mx.txt保存為:c:\1.txt

http://www.17**.com/gua/zt.exe保存為:%SystemRoot%\0Sy.exe

http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe

http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe

註:

木馬程式

14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"

"ver_down1"="[boot loader]

timeout=30

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"

"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

如果有以上特徵,那么恭喜您,呵呵,您中了威金病毒!

解決辦法

如果在病毒沒有發作情況下防毒是可以完全搞定的。如果發作了也不要防毒了。直接克盤恢復吧。

一、找到註冊表中[hkey_local_machinesoftwaresoftdownloadwww]

auto = 1

刪除downloadwww主鍵

二、找到

[hkey_local_machine/software/microsoft/windows nt/currentversion/inifilemapping/system.ini/boot]

winlogo 項

把winlogo 項 後面的c:winntsws32.dll 刪掉

接下來把hkey_local_machine]software/microsoft/windows/currentversi 鍵中 /runonce/runonceex

兩個中其中有個是也是

c:winntsws32.dll

把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話後果自負)。

如果沒有以上鍵值,則直接跳過此步驟 。

在C糟winnt根目錄里找到logo1_.exe,vdll.dll和rundl132.exe(注意rundl----132.exe,後面一個是一,以前都讓他混過去了)刪除,註冊表中也要刪除rundl132.exe相關的內容。

三 結束進程

按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以藉助綠鷹的進程管理軟體處

理更方便。找到expl0rer.exe進程(注意第5個字母是數字0不是字母o),找到它後選中它並點擊“結束進程”

以結束掉(如果expl0rer.exe進程再次運行起來需要重做這一步)。

四http://db.kingsoft.com/download/3/246.shtml這個是金山的。

http://down1.tech.sina.com.cn/download/down_contents/1151769600/28441.shtml這個是瑞星的 。

請下載viking病毒專殺!這裡提示您,該專殺軟體只能提取清除普通檔案里的病毒,但是在壓縮檔案里的病毒還在,最好還是購買瑞星正式版!

五 建立一個記事本添入以下內容

@echo off

echo 正在清除檔案,請稍等......

del c:\_desktop.ini /f/s/q/a

del d:\_desktop.ini /f/s/q/a

del e:\_desktop.ini /f/s/q/a

del f:\_desktop.ini /f/s/q/a

del g:\_desktop.ini /f/s/q/a

echo 清除完畢!

exit

盤符請自行更改!然後把*.txt後綴改成bat批處理檔案!然後執行!ok !

防止再次感染

運行 gpedit.msc 打開組策略

依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案 。

相關詞條

相關搜尋

熱門詞條

聯絡我們