警惕Win32.Downloader.w感染型Autorun
一、病毒相关分析:
: B# }4 i) D$ s. W" R1 }! D* \" S" Z
病毒标签:3 G: j& d9 _" L6 J. s
病毒名称:Virus.Win32.Downloader.w
6 d' k1 E% p' K病毒类型:病毒
+ d0 x# M& C9 N! J! G, M危害级别:3
4 J! l2 P% H% i# C0 `9 |3 ]7 n感染平台:Windows
7 p3 A7 P, ~3 X' n, Y+ w病毒大小:46,080(字节)
( j* O! D) k/ T7 {SHA1 :70eb5b5fadede75ef06bdbcb788d49b085ffc6bf
4 z" [1 }! T# W8 d3 k3 f加壳类型:UPX
5 ~! [' E8 `6 G. w开发工具:Borland Delphi
# T- Z( Y" {( d, X) O( Z警惕Win32.Downloader.w0 j# E( a- p/ ~" W2 Y2 P
) U# L: q+ K& \& b病毒行为:
* L5 X, z [& V1、程序运行后,下载以下文件
\" w/ \) c+ \- C bbb.*****.info/ver.txt/ C! l) s, D2 n# q( P
aaa.*****.info/winint.exe9 w' o' x" P5 r6 P0 K5 |
aaa.*****.info/winsys.inf
# l1 K* H2 h h. I6 S aaa.*****.info/winsys.exe6 p, Z9 e+ B7 I
ccc.*****.cn/main.exe3 l2 J, c/ x, I5 h/ b, h3 p5 M
ccc.*****.cn/m1.exe7 {" x) U; s8 w. S: z1 u) f
ccc.*****.cn/m2.exe
3 o$ Z- |/ {, C2、生成文件:
2 K- v) ?1 F4 X; @ %CommonProgramFiles%\m1.exe
* Z4 U3 k: ]9 ? %System%\wincom.exe
- N% q# Q+ e" {7 Z1 c9 @) _% W %CommonProgramFiles%\m2.exe
) X: J6 g4 y3 G/ d: ^/ C %System%\Rpcsdsamfj.exe5 S" q, i& {/ v4 p7 f G Q( A/ s
%System%\Rpcssfamjf.dll
0 |2 D- a$ s* q: N3、遍历目录,跳过以下文件夹或文件,并感染exe与scr文件:
5 K% ~4 w/ O* ^0 l! O& I& w# M windows、winnt、recycler、$recycle.bin、system volume information、config.msi、installshield/ Z$ K$ h* f m! [- e0 e* ]
installation information、internet explorer、outlook express、netmeeting、common files、messenger、
8 C! g0 ]4 _2 K1 J: N5 U- I windows media player、winrar、msocache、documents and settings
: W0 E5 i# l1 X4、感染文件被插入代码 3 Z. E, X) Q) r' b" D, w" B9 i. |: q
1 S0 _9 ~& L$ l2 B二、安全建议
/ N. ^2 p4 @0 L ]: B
+ \' @- m5 Z/ I( R" z 1、使用360补丁检查功能,及时安装系统补丁。) }; g0 p, M, l Q. y
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。2 u& ~) z, Q- ~ S$ P0 W2 W
5、禁用不必要的服务。
. _! {5 Y3 _9 T9 W+ V 6、不要随意下载不安全网站的文件并运行。
( S: b1 Q" h7 Y. q% ] 7、下载和新拷贝的文件要首先进行查毒。1 y( e2 }; A2 }3 R: d" i
8、不要轻易打开即时通讯工具中发来的链接或可执行文件。3 n7 ~ p0 K0 M4 Y
9、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用360实时保护,进行免疫。+ K8 z4 N$ n' F" t$ _/ q
10、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。( X/ c2 Z# |+ b0 l: j! n, ~
1 W/ h! L+ |) X. `3 W6 g. v
0 X, T* [- s. b4 l: l$ g1 }
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变 s; k+ D7 M- g h) b5 g8 N
量指%Windir%\System32。其它:
# g( V% X+ E: g- X %SystemDrive% 系统安装的磁盘分区! z" I! |. ?" w/ m' ^) t7 I1 j: [) N
%SystemRoot% = %Windir% WINDODWS系统目录
4 [$ _* v/ I3 L7 g; F %ProgramFiles% 应用程序默认安装目录
, J6 i G- M% P. ?6 l, ~ %AppData% 应用程序数据目录1 X, ~) O- T( ]$ C
%CommonProgramFiles% 公用文件目录
& ~2 c! y& x' i# Y- Y1 a/ c %HomePath% 当前活动用户目录- E/ ]% c. l1 _$ e- y: [
%Temp% =%Tmp% 当前活动用户临时目录
4 ?( W4 x$ N' D9 n: R/ { %DriveLetter% 逻辑驱动器分区" W! h8 ~8 V* y1 m; _# ?. @
%HomeDrive% 当前用户系统所在分区 & }$ }+ F- x* A' X2 T% r" w
- c1 R6 t( i5 ]" {介绍几个简单的处理方法:
* q; r+ N2 Q, W7 E" u2 {5 `% \2 ]
. s, ^$ W: Z* g2 u 一、1 :GHOST 镜象还原或者系统还原点还原 没有就从装。7 E/ A0 U) q2 c5 Q
2 :开机运行CMD 每个盘符下生成任意文件夹(C:\>MD 1)这里假设生成文件夹。
0 K) P! h& w! F9 y 3 :地址栏输入C:\1 进入文件夹1 标准按钮向上 进入C盘根目录 删除ANTORUN 和 病毒文件其他盘符同样方法 删除。: z/ V5 B5 k( j3 N% L
4 :下载最新杀毒软件杀毒 。- E; E. x$ W& f4 W
4 I% N1 |( x( E5 F/ B2 o5 v3 H 二、Autorun通杀方法:
# d7 t8 I" t& R) N, c; K2 h/ X 1 :进入安全模式,如果无法进入则可以在正常模式下先中止木马的进程。. D) D( k, z; `& W! s( l
2 :右键点击盘符(切记不要双击)点资源管理器进入盘符,点击 工具--〉文件夹选项--〉查看(选项卡)下去掉“隐藏受保护的操作系统文件”前的勾,弹出的对话框选“是”,然后你就会在盘符根目录下看到隐藏的木马文件,然后将autorun.inf和木马程序删除,每个盘符里都要删除,(打开时切记要用右键,否则就前功尽弃了)。
) _. Y b& H8 u4 j% l 3 :单击开始--〉运行--〉regedit 打开注册表,点击 编辑--〉查找,在框里输入木马的名字,点击查找,找到的注册表项全部删除,按F3查找下一处找到的也都删了。
$ o) _5 X. ?3 a) s- _9 A4 \# L' q7 W: t 4 :恢复杀毒软件等全盘查杀,尤其很多木马都在system和(或)system32目录下隐藏,全盘查杀完后,再改回被木马修改的文件autorun木马也并不是很厉害,只是很多人“斩草不除根”造成的“春风吹又生”顺序一定是先结束木马进程或在安全模式下,右键打开并删除所有盘符(切记右键打开左右盘符删除)删除注册表例的木马项目,彻底查杀木马文件。
搜索更多相关主题的帖子:
Autorun ccc info aaa exe
