AV终结者病毒实例分析

 
一、感染症状

   1、 更改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox2,隐藏“文件夹选项”中的“隐藏受保护的操作系统文件”项,阻止显示系统属性的文件

   2、在每个盘符下生成autorun.inf、icnskem.exe,并会下载VBurl.exe到C:\

   3、在C:\program Files下生成meex.exe

   4、在C:\program Files\Common Files\Microsoft Shared下生成具有隐藏/系统属性的文件xoqommy.inf、tydfjbr.exe


   5、在C:\program Files\Common Files\System下生成具有隐藏/系统属性的文件xoqommy.inf、amtrtpn.exe

 

  6、增加amtrtpn.exe、tydfjbr.exe的启动项

   7、添加注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Image File Execution Opeions ,实现映像劫持,阻止运行反病毒软件、
系统分析/修复工具等工具软件

 

   8、进程中有amtrtpn.exetydfjbr.exe两个进程互相守护,结束其中任一进程时,任务管理器也同时被结束,待再次打开任务管理器时,被结束的进程已经再次运行。

   9、下载病毒文件到C:\Documents and Settings\Administrator\Local Settings\Temp

   10、下载病毒文件到
    C:\Documents and Settings\Administrator\Local Settings
    \Temporay Internet Files

   11、下载病毒文件到C:\windows\Fonts文件

   12、添加注册表项,使病毒注入Explorer.exe进程

   13、修改系统时间为2001

   二、手动清除

   1.结束tydfjbr.exeamtrtpn.exe进程任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"。新建文本文档killprocess.txt,内容如下:ntsd -c q -p PID1
      ntsd -c q -p PID2
 PID1PID2,改成tydfjbr.exeamtrtpn.exe进程的ID。将该killprocess.txt文件扩展名改成.bat

 双击killprocess.bat,结束tydfjbr.exeamtrtpn.exe进程

   2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exetydfjbr.exe的启动项

  3.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opeions

  4.删除注册表项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecutehooks项中病毒相关的键

   5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox,显示文件夹选项中的隐藏受操作系统保护的系统文件,显示系统属性文件

   6.在文件夹选项中,去掉选择“隐藏受保护的操作系统文件”,选择“显示所有文件和文件夹”

   7.备份并删除前述“一、感染症状”2345910中的病毒文件

   8.由于资源管理中无法显示C:\Windows\Fonts文件夹中除字体文件以外的其他格式文件,所以需要先重新启动计算机,开始-运行-cmd,在命令行模式下执行如下命令:清除病毒文件的系统/隐藏属性,然后将所有dll文件copy到备份文件夹,删除C:\Windows\Fonts下的所有dllexe文件。

   9.修改系统时间至正常时间

   10.V3不能查杀的病毒文件加密码virus压缩成zip格式发送到support@ahn.com.cn

 三、Autorun病毒的预防

   1、关闭自动播放

   点开始”→“运行,在对话框中输入“gpedit.msc” ,“确定”,在组策略计算机配置”→“管理模板”→“系统,双击关闭自动播放,在设置中选已启用,“关闭自动播放:所有驱动器”,确定;

   2、在各磁盘分区、优盘分别建立名为autorun.inficnskem.exe的文件夹,阻止生成autorun.inficnskem.exe病毒文件

   3、培养良好的电脑使用习惯,使用资源管理器的文件夹栏打开磁盘分区和优盘,从而避免双击打开优盘及磁盘分区时触发autorun病毒;对外来优盘、下载的文件查杀病毒后再使用;避免访问非法网站、个人网站等危险站点。

 

 

 

 

                   [1] [2] [3] [4] [下一页]