亚洲自拍另类-亚洲资源最新版在线观看-亚洲资源在线视频-亚洲资源在线观看-亚洲资源在线播放-亚洲专区中文字幕

作者：清新陽光

最近U盤病毒auto.exe鬧的比較兇，但與此同時(shí)，又發(fā)現(xiàn)了一個(gè)類似的通過U盤傳播的下載者病毒，希望各位網(wǎng)友要提高警惕。

下面是這個(gè)病毒的分析：
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054

生成如下文件
在系統(tǒng)盤下生成其副本
%system32%\servver.exe
并在每個(gè)磁盤分區(qū)下生成
autorun.inf和servver.exe

注冊為服務(wù) Windowsms
指向%system32%\servver.exe
啟動類型：自動
顯示名稱：Telephots google
服務(wù)描述：為即插即用設(shè)備提供支持

試圖修改注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的鍵值 但測試時(shí)未實(shí)現(xiàn)

查找窗口“IE執(zhí)行保護(hù)”查找到以后 查找按鈕“允許執(zhí)行”
并發(fā)送WM_LBUTTONDOWN的指令 模擬按鍵
查找窗口 瑞星卡卡上網(wǎng)安全助手－IE防漏墻”查找到以后 查找按鈕 ldquo;允許”
并發(fā)送WM_LBUTTONDOWN的指令 模擬按鍵

查找有無drivers/klif.sys文件
如果有則通過cmd /c date 1981-01-12 命令把日期改為1981年1月12日
并在15s以后 把日期再改回來

調(diào)用CreateProcess打開進(jìn)程c:\windows\system32\svchost.exe，然后調(diào)用WriteProcessMemory等函數(shù)往此進(jìn)程中寫入病毒代碼，實(shí)現(xiàn)下載功能
下載如下
到%system32%文件夾下
下載的病毒有盜號木馬 威金等
其中117.exe可以進(jìn)行arp欺騙
113.exe具有感染htm文件的功能

盜號木馬可以盜取以下一些網(wǎng)絡(luò)游戲的帳號密碼（包括但不限于）
征途
完美世界
QQ
...

并可結(jié)束如下進(jìn)程或者服務(wù)（包括但不限于）
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...

并可關(guān)閉自動更新和Windows自帶的防火墻

木馬和病毒植入完畢以后 sreng日志如下

啟動項(xiàng)目
注冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}> []
<{2960356A-458E-DE24-BD50-268F589A56A2}> []
==================================
服務(wù)
[Telephots google / Windowsms][Stopped/Auto Start]

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]

[]
==================================
正在運(yùn)行的進(jìn)程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...

清除辦法：

一、清除病毒主程序
下載冰刃,sreng (http;//www.antidu.cn有的下)
打開sreng
ldquo;啟動項(xiàng)目”-“服務(wù)”-“Win32服務(wù)應(yīng)用程序”中點(diǎn)“隱藏經(jīng)認(rèn)證的微軟項(xiàng)目”，
選中以下項(xiàng)目，點(diǎn)“刪除服務(wù)”，再點(diǎn)“設(shè)置”，在彈出的框中點(diǎn)“否”：

Telephots google / Windowsms

重啟計(jì)算機(jī)
使用冰刃刪除如下文件
%system32%\servver.exe
以及各個(gè)分區(qū)下的autorun.inf和servver.exe

二、清除木馬
以前寫的好多了，這里不再贅述。
具體方法參考之前的auto.exe的木馬群的查殺
以及隨機(jī)7位字母的dll木馬群的查殺方法
三、下載威金專殺修復(fù)受感染的exe文件
有的下載

四、使用記事本修復(fù)受感染的htm文件