一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

捕獲時間

2009-5-2

病毒癥狀

該樣本是使用“Delphi編寫的網絡蠕蟲，由微點主動防御軟件自動捕獲，采用“upx”加殼方式，企圖躲避特征碼掃描，加殼后長度為“30,208 字節”，圖標為“
”，病毒擴展名為“exe”，主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”等方式傳播，病毒主要目的為是下載大量木馬，惡意程序。
　　
用戶中毒后，會出現安全軟件無故關閉，網絡運行緩慢，安全模式無法進入，windows系統無故報錯等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁掛馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發現該病毒后將報警提示您發現“病毒”，請直接選擇刪除處理（如圖1）；



          圖1 微點主動防御軟件自動捕獲未知病毒（未升級）

如果您已經將微點主動防御軟件升級到最新版本，微點將報警提示您發現" Worm.Win32.AutoRun.mpw”，請直接選擇刪除（如圖2）。





          圖2   微點主動防御軟件升級后截獲已知病毒

對于未使用微點主動防御軟件的用戶，微點反病毒專家建議：

1、手動刪除以下文件：
　　
%Temp%\dll7.tmp
　　usp10.dll
X:\GRIL.PIF
X:\AUTORUN.INF   （X為任意盤符）

　　
2、手動刪除以下注冊表值：
鍵：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss
鍵：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nbkkt
鍵：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lfdl
鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
值：[所有劫持]

3、手動修改以下注冊表：
鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
值：CheckedValue
數據：1


變量聲明：

%SystemDriver%　　　　　　　系統所在分區，通常為“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”
%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”
%Temp%　　　　　　　　　　　臨時文件夾，通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles%　　　　　　　系統程序默認安裝目錄，通常為：“C:\ProgramFiles”

病毒分析

（1）設置自身屬性為隱藏和系統屬性，查看同目錄下是否有AUTORUN.INF，如果有，打開C盤，運行病毒，設置計算機下次啟動，刪除自身
（2）嘗試刪除AVP服務，創建動態庫dnt.dll，遍利進程，查看是否有CCenter.exe進程，如果有，生成腳本文件bbp.VBS，使用加載動態庫，如果沒有，直接使用rundll32.exe加載，動態庫生成驅動aec.sys，加載驅動，恢復SSDT，隨后刪除驅動，VBS文件和動態庫文件
（3）創建線程，生成動態庫dll7.tmp，加載動態庫，結束安全軟件進程，刪除服務，刪除安全軟件相關文件，刪除安全模式相關注冊表，刪除安全軟件注冊表啟動項，創建大量映像劫持，關閉含有安全軟件關鍵字窗口，下載病毒并運行，創建動態庫aaaamon.dll
（4）創建驅動smvss.sys，并創建服務啟動驅動程序
（5）遍歷進程查找360tray.exe進程，如果發現進程，創建驅動nbkkt.fon，創建nbkkt服務啟動驅動，刪除驅動文件，再次遍歷進程，使用驅動結束如下進程
360tray.exe
360Safe.exe
safeboxTray.exe
360safebox.exe
（6）通過讀取注冊表，獲取360tray.exe安裝目錄，在360安裝目錄下釋放usp10.Dll
（7）釋放驅動lfdl.sys，創建服務啟動驅動，加載aaaamon.dll，進行內網傳播
（8）遍歷磁盤寫autorun.Inf并復制自身到磁盤根目錄
　　
　　
病毒創建文件：
　　
%SystemDriver%\dnt.dll
%SystemRoot%\Fonts\bbp.VBS
%SystemRoot%\system32\drivers\aec.sys
%Temp%\dll7.tmp
%SystemRoot%\Fonts\nbkkt.fon
%SystemRoot%\fonts\smvss.sys
usp10.dll
%SystemRoot%\fonts\lfdl.sys
X:\GRIL.PIF
X:\AUTORUN.INF   （X為任意盤符）

病毒刪除文件：

%SystemDriver%\dnt.dll
%SystemRoot%\Fonts\bbp.VBS
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\Fonts\nbkkt.fon
%SystemRoot%\fonts\lfdl.sys
D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
　　
病毒創建注冊表：
　　
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nbkkt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lfdl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
　　

病毒修改注冊表：
　　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ CheckedValue
　　
　　
病毒刪除注冊表：
　　
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值：360Safetray
360Safebox
KavStart
vptray
ccApp
RavTray
egui
essact


病毒訪問網絡：
　　
http://b.Wu***.com/tt.txt