scanfrm.exe收藏本站找回密码开启辅助访问OTP 登录 注册 找回密码
安基网
请输入搜索内容
搜索
首页资讯软件IT技术公开课人才投稿
冰盾DDoS防火墙
冰盾DDoS防火墙
专业防护DDoS和CC攻击15年,网站和游戏服务器的保护神
点击了解详情
安基网›首页›IT技术›安全攻防› 查看内容
蠕虫病毒分析与手动清除Worm.Win32.AutoRun.our
2009-8-15 10:47| 投稿: security
免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!
摘要: 病毒名称:Worm.Win32.AutoRun.our蠕虫程序 危害等级:高 病毒症状:该样本是使用“vc”编写的蠕虫程序,采用“Nspack”加壳方式,企图躲避特征码扫描,加壳后长度...
病毒名称:Worm.Win32.AutoRun.our蠕虫程序 危害等级:高 病毒症状:该样本是使用“vc”编写的蠕虫程序,采用“Nspack”加壳方式,企图躲避特征码扫描,加壳后长度为“32,246 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播,病毒主要目的为下载大量病毒并运行。 用户中毒后,会出现安全软件无故关闭,网络运行缓慢,出现大量未知进程,windows系统无故报错等现象。 感染对象:Windows 2000/Windows XP/Windows 2003 传播途径:网页木马、文件捆绑、下载器下载 病毒分析: (1)如果自身是explorer.exe,复制%SystemRoot%\system32\drivers\gm.dls为%SystemRoot%\temp\explorer.exe,然后运行%SystemRoot%\temp\explorer.exe。 (2)设置%SystemRoot%和%Temp%目录权限为everyone完全控制,停止ekrn服务,结束ekrn.exe,egui.exe和ScanFrm.exe进程。 (3)释放动态库文件func.dll,然后加载,释放驱动文件acpiec.sys,创建服务启动驱动,结束大量安全软件进程。 (4)再释放动态库文件phpq.dll,然后加载,释放驱动文件pcidump.sys,创建服务启动驱动,修改gm.dls和explorer.exe,删除驱动文件。 (5)遍历窗口,如果发现"Windows 文件保护"窗口,隐藏WINDOWS文件保护窗口。 (6)释放资源,修改HOSTS文件,遍历磁盘,写AUTORUN.inf和1.exe。 (7)获取本机MAC地址等信息,发送到指定统计地址。 (8)遍历磁盘,发现扩展名为htm和html的文件,在文件最后面写入病毒代码。 (9)感染非系统盘的所有exe扩展名文件,不感染qq.exe和360safe.exe,不感染有hhqg,UPX0和nsp0区段的程序。 (10)尝试打开puid服务,如果打开成功,删除服务,删除驱动文件puid.sys,获取病毒下载列表,下载大量病毒运行。 病毒创建文件: %SystemRoot%\system32\drivers\acpiec.sys %SystemRoot%\system32\drivers\pcidump.sys %SystemRoot%\system32\func.dll %SystemRoot%\phpq.dll %SystemRoot%\temp\explorer.exe X:\AUTORUN.inf X:\1.exe (X:为任意盘符) 病毒修改文件: %SystemRoot%\system32\drivers\gm.dls %SystemRoot%\explorer.exe %SystemRoot%\system32\drivers\etc\hosts 非系统盘*.exe文件 所有*.htm和*.html文件 病毒删除文件: %SystemRoot%\system32\drivers\pcidump.sys %SystemRoot%\system32\drivers\puid.sys 病毒创建注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateDATA HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump 病毒创建进程: explorer.exe 病毒访问网络: 手动解决办法: 1、使用相同版本文件替换: %SystemRoot%\system32\drivers\gm.dls %SystemRoot%\explorer.exe 2、修复%SystemRoot%\system32\drivers\etc\hosts和所有被修改的*.exe,*.htm和*.html文件。 3、手动删除以下文件: %SystemRoot%\system32\drivers\pcidump.sys %SystemRoot%\system32\func.dll %SystemRoot%\phpq.dll %SystemRoot%\temp\explorer.exe X:\AUTORUN.inf X:\1.exe (X:为任意盘符) 4、手动删除以下注册表值: 键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateDATA 键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump 变量声明: %SystemDriver%系统所在分区,通常为“C:\” %SystemRoot%WINDODWS所在目录,通常为“C:\Windows” %Documents and Settings%用户文档目录,通常为“C:\Documents and Settings” %Temp%临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp” %ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
Tag标签:
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!
免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!
鲜花
握手
雷人
路过
鸡蛋
收藏邀请
相关阅读
• 黑客 我的一点体会• 流光开发者--小榕的简历• 谨防“Flash蛀虫”病毒 已感染上万台电脑• 简单抵御抵抗WVS扫描• 利用Catalyst交换机处理蠕虫的入侵• 杀毒软件的杀毒原理 • 服务器断开后总是自动注销的问题解决办法!• 网络监听技术最全面解析• 监控局域网一举一动(下)• 关于Oblog 2.52 help.asp漏洞的修补问题 • 雷傲论坛过滤不严漏洞• 把ShellCode转成汇编代码• ARP病毒反复发作 专家支招如何彻底防范• 实战:Sniffer捕获城域网中异常数据• 6月22日更新免费http高速代理• 木马病毒的发展史• vBulletin论坛 SWF 跨站漏洞• 遭受ARP攻击后查找ARP病毒主机• Linux任意文件组权限更改漏洞利用程序• Format String 漏洞介绍/总结(二)• Solaris/x86 php版shellcode• 清除突破主动防御的新型木马• 10个针对DDOS有关的快速补救措施• 专家教你捕获病毒样本
最新评论
评论
手机数码
电脑技术
网络管理
安全攻防
编程开发
智能硬件
办公设计
网赚电商
最新
能够删除杀毒软件的新型Linux挖矿木马来袭
FIT 2019不见不散!大会详细议程公布
用户设备易被黑的十大机场
数字货币价格普遍回暖 比特币重返4200美元
红魔MARS游戏手机发布 液冷+风冷+炫彩灯+边
00后没见过 这些老产品依旧堪称神器
因MacBook和iMac屏幕进灰事件 苹果遭遇集体
美司法部指控两名伊朗黑客勒索攻击 造成300
网络黑灰产已近千亿 个人信息泄露是源头
真相令人崩溃 你在网上设的密码大多数形同
00后“白帽黑客”7天挖11企业漏洞!今年17
高达800万次下载量的npm包被黑客篡改代码,
黑客“自学成才”进行DDOS攻击,杭州一集团
工信部:监测处置网络安全威胁约3397万个
最近,互联网一个47年的协议就要停止支持了
5毛1GB太便宜!固态价格持续下降可以入手了
“多才多艺”的安卓木马Rotexy已在3个月里
专家发现一个Spotify的网络钓鱼活动
Uber被曝270万用户信息被黑客盗取 遭监管机
移动支付排名:微信第一、支付宝第二、Appl
专为AR/VR场景打造 高通正在开发全新SoC
苹果macOS曝三个零日漏洞,可导致Mac电脑被
越南黑客组织“海莲花”被指针对东南亚发起
13款恶意安卓APP被曝光,总下载量超过56万
攻击者可通过侧通道攻击暴露Facebook、XBox
聊一款专为图形工作者准备的笔记本电脑
恐怖!一天之内比特币跌破3500美元,官媒发
共享充电宝退潮后:那些海量旧电芯去了哪里
人工智能如何与现代黑客和网络犯罪作斗争
非常琐碎的Spotify钓鱼活动被专家发现
Web应用服务器性能压力测试
任天堂Switch 6.2系统被破解 黑客将于本周
虚拟机加密:超融合世界的加密策略
python编程实现局域网arp抓取室友网上浏览
9款电脑黑科技小软,开启你成就网络管理员
斯诺登:比特币终将消失 加密货币则会永生
警惕eval()的安全漏洞
自学Python入行数据挖掘,听听数据挖掘美女
马斯克考虑移居火星 建立基地不返回地球
新型 Linux 病毒,脚本超 1000 行,功能复
渗透测试——黑客如何通过QQ号获取到你的手
黑客怎么利用手机进行网络渗透测试!
黑客入侵电脑常用的5种手段,如果你电脑里
黑客的“攻”与“受”之防火墙
安卓已过时?华为、荣耀参与测试全新操作系
亏损超1亿!比特币价格大跌,两万多部矿机
乳胶枕被检出含致癌物,还是花6800买的!乳
英语不好?那你就试试TensorFlow官方中文版
Hadoop学习-块、网络拓扑、副本策略、机架
超详细的Linux时间同步配置方法
比特币跌破3500美元至2017年9月以来的最低
北京一培训公司员工为赚提成收集千万个人信
腾讯QQ发布公告:因安全功能升级 不再提供
苹果macOS曝三个零日漏洞,可导致Mac电脑被
Facebook提高发现账户劫持漏洞的赏金金额
Linux内核发现两个尚未修复的DoS漏洞
淘宝双12大促玩法曝光:必须设店铺红包
PS4出现一位黑客 把不尊重他的玩家永久断开
你的ofo押金退了吗?
2019互联网校招薪酬曝光 看你能拿到多少钱
感恩节黑客也搞起了黑五大促 但甩卖的是你
网上谍影:境外间谍情报机关通过互联网窃取
亚马逊用户电子邮箱地址在黑色星期五前夕外
vivo NEX2首次曝光:极致双面屏+22.5W超级
百度网盘六周年庆活动上线:新用户1元买一
国产手机逆势崛起 苹果三星被挤压
QQ v9.0.8.24194 体验版发布
小米蓝牙耳机Air现身FCC:10小时续航
比特币再次暴跌 感恩节当周市值损失四分之
iOS登录,退出流程整理
© 2003-2018 安基网(SAFEBASE.CN) 京公网安备11010802027589号 京ICP备10030376号-6 【手机版】Powered by Discuz 存档 联系信箱: 0daybank
文章评论