一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

蠕蟲病毒Worm.Win32.AutoRun.pza
來源:  2009-08-31 14:03:49

蠕蟲病毒

Worm.Win32.AutoRun.pza

捕獲時間

2009-8-31

危害等級



病毒癥狀

 該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“36,864 字節 ”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。
  用戶中毒后,會出現大多數殺毒軟件退出和無法正常運行,系統運行緩慢,網絡速度變緩,出現大量未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.pza”,請直接選擇刪除(如圖2)。


  圖2   微點主動防御軟件升級后截獲已知病毒




未安裝微點主動防御軟件的手動解決辦法:

1、手動恢復以下文件:

拷貝相同版本文件到: %SystemRoot%\system32\drivers\gm.dls
拷貝相同版本文件到: %SystemRoot%\explorer.exe
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts

2、手動刪除以下文件:
  
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope5.tmp
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
%SystemDriver%\AUTORUN.INF
X:\_temp.bat (X為病毒主程序所在盤符)

3、手動刪除以下注冊表值:

鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數據: %SystemRoot%\system32\scvhost.exe
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

變量聲明:

 %SystemDriver%       系統所在分區,通常為“C:\”
 %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
 %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
 %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
 %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

(1)查找名為"SoundRec"的窗口,如果沒找到,執行sndrec32.exe,繼續查找SoundRec窗口,若沒找到,退出進程。若找到,繼續查找
名為"TTTES99..."的窗口是否存在,檢查病毒是否運行,如果存在,獲得該窗口文本和窗口類名。如果不存在,發送一個消息到
當前進程的主線程,主線程接受消息后,創建互斥體,防止多次運行。
(2)檢查自身是否為Explorer.exe,如果是,則復制%SystemRoot%\system32\drivers\gm.dls到%SystemRoot%\temp\explorer.exe,并      執行%SystemRoot%\temp\explorer.exe。
(3)獲得服務控制相關函數虛擬地址,刪除ekrn相關服務,終止進程ekrn.exe、egui.exe。
(4)釋放動態鏈接庫%SystemRoot%\system32\ee0t.dll,創建新進程,調用%SystemRoot%\system32\rundll32.exe加載ee0t.dll
(5)提升當前進程權限,獲得進程快照,如果找到進程360tray.exe,將其進程退出;若找到進程CCenter.exe、KAVStart.exe、avp.exe,
去掉%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys的文件保護屬性,釋放驅動文件%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys,通過加載aec.sys恢復SSDT,加載AsyncMac.sys刪除殺毒軟件相關服務并退出其進程,并對大多數發病毒軟件作映像劫持,使其無法正常運行。通過操作注冊表,刪除所有系統自啟動項鍵值。之后,刪除文件AsyncMac.sys和aec.sys及服務。刪除%SystemRoot%\system32\ee0t.dll。
(7)創建線程,釋放并寫文件%SystemDriver%\AUTORUN.INF,設置文件屬性為隱藏,創建目
錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}, 將該目錄命名為畸形名稱"\safe..//",使用戶無法刪除 該目錄,之后將病毒自身重命名復制到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe,并設置為隱藏,使用戶打開磁盤或資源管理器時運行病毒程序kav32.exe。
(8)禁用Windows安全中心和防火墻服務,釋放病毒程序%SystemRoot%\extext0t.exe,并執行。
(9)創建互斥體,將%SystemRoot%\system32和%TEMP%目錄訪問權限提升為Everyone完全控制。
(10)提升當前進程權限,將%SystemRoot%\system32\wininet.dll復制到%TEMP%\ope5.tmp(文件名數字部分隨機生成),并加載ope5.tmp,獲得網絡相關函數的虛擬地址。
(11)創建線程,循環查找名為"#32770"的窗口,如果沒找到,自動將病毒程序添加到注冊表啟動項。
(12)創建線程,修改%SystemRoot%\system32\drivers\etc\hosts文件,并設置文件屬性為只讀。
(13)創建線程,統計感染主機的操作系統版本、類型、Mac地址和時間,將這些信息發送到指定網址。
(14)解密資源,訪問解密后的目標網址,下載大量病毒到本地執行。
(15) 釋放驅動文件%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載,感染%SystemRoot%\system32\drivers\gm.dls和%SystemRoot%\explorer.exe文件,完成后,刪除pcidump.sys及服務。
(16)將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過添加注冊表自啟動項執行該程序。
(17)檢查自身是否為rav32.exe和explorer.exe,如果不是,在病毒主程序同目錄下創建批處理_temp.bat,并執行,刪除自身和_temp.bat。
  
病毒創建文件:

%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope5.tmp
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)

病毒修改文件:

%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件:

%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\etc\hosts
X:\_temp.bat (X為病毒主程序所在盤符)

病毒創建注冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft


病毒刪除注冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
 
病毒訪問網絡:

http://tong***20.com/v3/count.asp
http://320n***.com/aa3mhu.txt
http://1.h***.net/ww/aa1.exe
http://1.h***.net/ww/aa2.exe
http://1.h***.net/ww/aa3.exe
http://1.h***.net/ww/aa4.exe
http://1.h***.net/ww/aa5.exe
http://1.h***.net/ww/aa6.exe
http://1.h***.net/ww/aa7.exe
http://1.h***.net/ww/aa8.exe
http://1.h***.net/ww/aa9.exe
http://1.h***.net/ww/aa10.exe
http://2.h***.net/ww/aa11.exe
http://2.h***.net/ww/aa12.exe
http://2.h***.net/ww/aa13.exe
http://2.h***.net/ww/aa14.exe
http://2.h***.net/ww/aa15.exe
http://2.h***.net/ww/aa16.exe
http://2.h***.net/ww/aa17.exe
http://2.h***.net/ww/aa18.exe
http://2.h***.net/ww/aa19.exe
http://2.h***.net/ww/aa20.exe
http://3.h***.net/ww/aa21.exe
http://3.h***.net/ww/aa22.exe
http://3.h***.net/ww/aa23.exe
http://3.h***.net/ww/aa24.exe
http://3.h***.net/ww/aa25.exe
http://3.h***.net/ww/aa26.exe
http://3.h***.net/ww/aa27.exe
http://3.h***.net/ww/aa28.exe
http://3.h***.net/ww/aa29.exe
http://3.h***.net/ww/aa30.exe
http://4.h***.net/ww/aa31.exe
http://4.h***.net/ww/aa32.exe
http://4.h***.net/ww/aa33.exe
http://4.h***.net/ww/aa34.exe
http://4.h***.net/ww/aa35.exe
http://4.h***.net/ww/aa36.exe
http://4.h***.net/ww/aa37.exe
http://4.h***.net/ww/aa40.exe

免費體驗
下  載
安裝演示

主站蜘蛛池模板: 怡红院亚洲怡红院首页| 久久免费网| 国产成人久久精品推最新| 色本| 99re这里只有精品99| 久久精品亚洲一级毛片| 亚洲影院手机版777点击进入影院| 久草新视频| 毛片国产| 亚洲理论片在线中文字幕| 97在线视频网站| 国产精品日本不卡一区二区| 欧美一级色视频| 欧美三级三级三级爽爽爽| 91久久福利国产成人精品| 国产亚洲一路线二路线高质量 | 亚洲视频免费看| 中文字幕一区在线观看| 国产毛片一区| 美女张开腿给男生桶下面视频| 欧美特一级| 亚洲国产精品影院| 亚洲情a成黄在线观看| 成 人 黄 色 大 片| 国产亚洲精品免费| 国产一级做a爰片久久毛片| 欧美日韩精品国产一区在线| 欧美搞黄视频| 亚洲成a人片在线看| 午夜毛片不卡高清免费| 在线视频中文字幕| 永久免费看毛片| 91亚洲人成手机在线观看| 91情国产l精品国产亚洲区| 成人亚洲网| avtom影院入口永久在线| 成人欧美| 中国女警察一级毛片视频| 成人一级黄色毛片| 91久久精品国产91性色tv| www.91成人|