一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

蠕蟲病毒Worm.Win32.AutoRun.brp
來源:  2009-09-18 15:33:25

蠕蟲病毒

Worm.Win32.AutoRun.brp

捕獲時間

2009-9-18

危害等級



病毒癥狀

 該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“33,288 字節 ”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。
  用戶中毒后,會出現大多數殺毒軟件退出和無法正常運行,系統運行緩慢,網絡速度變緩,出現大量未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)




如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.brp”,請直接選擇刪除(如圖2)。


  圖2   微點主動防御軟件升級后截獲已知病毒




未安裝微點主動防御軟件的手動解決辦法:

1、手動恢復以下文件:

拷貝相同版本文件到: %SystemRoot%\system32\drivers\gm.dls
拷貝相同版本文件到: %SystemRoot%\explorer.exe
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts

2、手動刪除以下文件:
  
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope14.tmp
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
%SystemDriver%\AUTORUN.INF
X:\_temp.bat (X為病毒主程序所在盤符)

3、手動刪除以下注冊表值:

鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數據: %SystemRoot%\system32\scvhost.exe
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

變量聲明:

 %SystemDriver%       系統所在分區,通常為“C:\”
 %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
 %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
 %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
 %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

(1)創建互斥體,防止多次運行。
(2)檢查自身是否為Explorer.exe,如果是,則復制%SystemRoot%\system32\drivers\gm.dls到%SystemRoot%\temp\explorer.exe,并      執行%SystemRoot%\temp\explorer.exe。
(3)獲得服務控制相關函數虛擬地址,刪除ekrn相關服務,終止進程ekrn.exe、egui.exe。
(4)釋放動態鏈接庫%SystemRoot%\system32\ee0t.dll,創建新進程,調用%SystemRoot%\system32\rundll32.exe加載ee0t.dll
(5)提升當前進程權限,獲得進程快照,如果找到進程360tray.exe,將其進程退出;若找到進程CCenter.exe、KAVStart.exe、avp.exe,
去掉%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys的文件保護屬性,釋放驅動文件%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys,通過加載aec.sys恢復SSDT,加載AsyncMac.sys刪除殺毒軟件相關服務并退出其進程,并對大多數發病毒軟件作映像劫持,使其無法正常運行。通過操作注冊表,刪除所有系統自啟動項鍵值。之后,刪除文件AsyncMac.sys和aec.sys及服務。刪除%SystemRoot%\system32\ee0t.dll。
(7)創建線程,釋放并寫文件%SystemDriver%\AUTORUN.INF,設置文件屬性為隱藏,創建目
錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}, 將該目錄命名為畸形名稱"\safe..//",使用戶無法刪除 該目錄,之后將病毒自身重命名復制到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe,并設置為隱藏,使用戶打開磁盤或資源管理器時運行病毒程序kav32.exe。
(8)禁用Windows安全中心和防火墻服務,釋放病毒程序%SystemRoot%\extext0t.exe,并執行。
(9)創建互斥體,將%SystemRoot%\system32和%TEMP%目錄訪問權限提升為Everyone完全控制。
(10)提升當前進程權限,將%SystemRoot%\system32\wininet.dll復制到%TEMP%\ope14.tmp(文件名數字部分隨機生成),并加載ope14.tmp,獲得網絡相關函數的虛擬地址。
(11)創建線程,修改%SystemRoot%\system32\drivers\etc\hosts文件,并設置文件屬性為只讀。
(12)創建線程,統計感染主機的操作系統版本、類型、Mac地址和時間,將這些信息發送到指定網址。
(13)解密資源,訪問解密后的目標網址,下載大量病毒到本地執行。
(14) 釋放驅動文件%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載,感染%SystemRoot%\system32\drivers\gm.dls和%SystemRoot%\explorer.exe文件,完成后,刪除pcidump.sys及服務。
(15)將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過添加注冊表自啟動項執行該程序。
(16)檢查自身是否為rav32.exe和explorer.exe,如果不是,在病毒主程序同目錄下創建批處理_temp.bat,并執行,刪除自身和_temp.bat。
  
病毒創建文件:

%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope14.tmp
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)

病毒修改文件:

%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件:

%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\etc\hosts
X:\_temp.bat (X為病毒主程序所在盤符)

病毒創建注冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft

病毒刪除注冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump

病毒訪問網絡:

http://tong***20.com/v15/count.asp
http://88fgh.****.org/ww/aa1.exe
http://88fgh.****.org/ww/aa2.exe
http://88fgh.****.org/ww/aa3.exe
http://88fgh.****.org/ww/aa4.exe
http://88fgh.****.org/ww/aa5.exe
http://88fgh.****.org/ww/aa6.exe
http://88fgh.****.org/ww/aa7.exe
http://88fgh.****.org/ww/aa8.exe
http://88fgh.****.org/ww/aa9.exe
http://88fgh.****.org/ww/aa10.exe
http://88fgh.****.org/ww/aa11.exe
http://88fgh.****.org/ww/aa12.exe
http://88fgh.****.org/ww/aa13.exe
http://88fgh.****.org/ww/aa14.exe
http://88fgh.****.org/ww/aa15.exe
http://88fgh.****.org/ww/aa16.exe
http://88fgh.****.org/ww/aa17.exe
http://88fgh.****.org/ww/aa18.exe
http://88fgh.****.org/ww/aa19.exe
http://88fgh.****.org/ww/aa20.exe
http://88fgh.****.org/ww/aa21.exe
http://88fgh.****.org/ww/aa22.exe
http://88fgh.****.org/ww/aa23.exe
http://88fgh.****.org/ww/aa24.exe
http://88fgh.****.org/ww/aa25.exe
http://88fgh.****.org/ww/aa26.exe
http://88fgh.****.org/ww/aa27.exe
http://88fgh.****.org/ww/aa28.exe
http://88fgh.****.org/ww/aa29.exe
http://88fgh.****.org/ww/aa30.exe
http://88fgh.****.org/ww/aa31.exe
http://88fgh.****.org/ww/aa32.exe
http://88fgh.****.org/ww/aa33.exe
http://88fgh.****.org/ww/aa34.exe
http://88fgh.****.org/ww/aa35.exe
http://88fgh.****.org/ww/aa36.exe
免費體驗
下  載
安裝演示

主站蜘蛛池模板: 96精品视频在线播放免费观看| 国产精品久久久久一区二区 | 欧美xxx高清| 国产亚洲图片| 亚洲一级毛片在线观播放| 欧美丝袜自拍| 国产高清精品一级毛片| 亚洲精品人成在线观看| 女女同性一区二区三区四区| 欧美成人在线视频| 暴操美女| 免费 欧美 自拍 在线观看| 成人做爰视频www视频| 色琪琪一本到影院| 欧美成人免费观看国产| 草草视频在线免费观看| 免费一级欧美片在线观看| 成人一级大片| 日本www在线播放| 真人毛片免费全部播放完整| 久久99在线| 亚洲美女黄视频| 国产 一二三四五六| 老头老太做爰xxx视频| 91进入蜜桃臀在线播放| 久久草在线观看| 欧美国产亚洲一区| 久久久久久福利| 国产九区| 欧美上床视频| 高清黄色毛片| 九九精品视频在线观看| 亚洲天堂免费视频| 高清日本在线成人免费视频| 久久精品国产99国产精品免费看| 曰本女人色黄网站| 欧美日韩精品一区二区另类 | 成人综合影院| 美女免费黄网站| 正能量www正能量免费网站| 久久成人亚洲|