 |
Virus.Win32.AutoRun.hr分析 |
|
|
| Virus.Win32.AutoRun.hr分析 |
|
| 作者:未知 文章来源:赛迪网 点击数: 更新时间:2007-10-3 1:05:36 |
|
安天实验室 CERT
一、病毒标签:
病毒名称: Virus.Win32.AutoRun.hr
病毒类型: 病毒
文件 MD5: F4E1E1E13B4D3605687687B58073C78B
公开范围: 完全公开
危害等级: 4
文件长度: 33392
感染系统: Windows98以上版本
开发语言: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
二、病毒描述:
病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。 WinSys64.Sys插入EXPLORER.EXE和其它相关进程中,记录用户信息并回传给病毒制造者。通过恶意网站、其它病毒/木马下载传播;该病毒可以盗取用户敏感信息。
三、行为分析:
1、 文件运行后会释放以下文件
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Tao
2、添加启动项,以达到启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}\InProcServer32\@
键值: 字符串: "C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}\InProcServer32\ThreadingModel
键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}
键值: 字符串: ""
3、WinSys64.Sys插入EXPLORER.EXE和其它相关进程中,记录用户信息,发回病毒制造者。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
强行删除插入EXPLORER.EXE的WinSys64.Sys
(2) 强行删除病毒文件
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Tao
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}\InProcServer32\@
键值: 字符串: "C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}\InProcServer32\ThreadingModel
键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}
键值: 字符串: ""
|
|
| 文章录入:郝丽 责任编辑:郝丽 |
|
|
上一篇文章: Win32/Cutwail.AK病毒修改winlogon.exe
下一篇文章: 没有了 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
