分析清除Worm.Win32.AutoRun.bqn病毒

上一篇 / 下一篇  2008-01-15 00:30:33

查看( 62 ) / 评论( 0 ) / 评分( 0 / 0 )

`8^lG:H4U$Z0网民在进行网络活动时,经常会遇到系统时间被改,文件被隐藏,甚至各个盘符打不开 ,而杀毒软件却因为系统时间的关系形成无法启动,虽然可以通过重装系统来解决,但病毒还是会在用户不小心时进驻计算机系统,发作时将直接导至用户机为病毒木马敞开了大门,以至于让更多的木马病毒感染用户机。IXPUB技术博客;v$tnt%H'_ Gmgp

IXPUB技术博客Lm$gzj MV[

病毒启动文件分析
'B#f7s+o Z_0该病毒名为Worm.Win32.AutoRun.bqn属于蠕虫病毒,病毒虽然只有21,504(字节),但其危力却不容任何人小视。病毒一但进入到用户计算机,首先会在主分区 %SystemRoot%\下释放出副本文件EXPL0RER.EXE可执行程序及autorun.inf文件,其内容如下:
G4^9l1o'eX3e0aK^0[autorun]
kR8c5j vHF {;G0open=EXPL0RER.EXEIXPUB技术博客G-rO'Of+C5@l
shell\open=打开(&O)
?Dvqzq{VD0shell\open\Command=EXPL0RER.EXE
g qMH!D smR9V%M$i0shell\open\Default=1
9R9\oZ P(S H]V3J0shell\explore=资源管理器(&X)IXPUB技术博客VgwT E O
shell\explore\Command=EXPL0RER.EXE

Z,tO&y K\~5k0IXPUB技术博客*w.H_3n*C1Q

病毒运行后,将根据文件夹名来感染生成对应的文录名.exe文件,随后自动修改生成的文件夹属性为只读、系统、隐藏式,实现将自身隐匿的效果,而用户看到的文件夹图标的都是病毒所修改后的图标,让其无法查觉真实的病毒。

GV!vucGS0IXPUB技术博客MpA&\ ~ y

被改的注册表对比
$la`*|i4iyZ`$C0此时病毒依然按照套路篡改注册表,以达不显示隐藏文件、系统文件和扩展名的效果,让用户在点击:工具-文夹件选项—查看—显视所有文件和文件夹时无法查看隐藏文件,更无从删除的目的。其注册表对应变化如下:IXPUB技术博客mvm:Xa `yB7K

~%pKw p0修改前 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"     
UMGI3i w3t0修改后 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"IXPUB技术博客4nA!^$B Z v3^

IXPUB技术博客*al0a#o!ph#U

修改前 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
9Y3_NPs cT0修改后 HKLM\SOFTWARE\Classes\Directory\shell\: "open"

#]tDOd3gT'g'S"]0

DIe6vA1w0修改前 HKLM\SOFTWARE\Classes\Drive\shell\: "none"IXPUB技术博客*@x:ht Qc [#|&Uw+k
修改后 HKLM\SOFTWARE\Classes\Drive\shell\: "open"IXPUB技术博客1\f'?8ye\,Et)h'r f

PW _ @r0修改前 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
1Wy,\4~%`XQn0修改后 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"IXPUB技术博客.V+V9Op)K ^y;f

^S7~ p G+ylW0修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
4A S;C4LSm3r0X)c0修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003

k X,aE4H;r0IXPUB技术博客t h3E+z2w`~$S

修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001IXPUB技术博客9Yr7W0j%Z d7N(P3K
修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002IXPUB技术博客,_L~dxP@7^;v

HlE M#A a0清除方案
x-y&w&xk U*|0网民可以通过下载使用wsyscheck或冰刃来进行修复删除处理。下面以wsyscheck 为例,首先打开 wsyscheck.exe —进程管理-结束病毒进程EXPL0RER.EXE并删除;然后利用SREng修复文件关联功能依次如下:系统修复-文件关联-全选-自动修复即可;然后修复磁盘与文件夹打开方式,其字符如下:

+j6q|d`!Q0IXPUB技术博客'p tU1_r

[quote]
j V ]$V:]0Windows Registry Editor Version 5.00

1uA o(k#a0IXPUB技术博客'CK1C$_E%Q

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
"w"XDsxQ0@="none"

aO&Q:w#`kw0IXPUB技术博客.g.^%rb K5H0\ aj

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]IXPUB技术博客)c:{^GCF

8et#Nt"Xi j0[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]IXPUB技术博客q9G&lux/b

/|6|9U+B;\0Ln@0[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
\*WAhG$ye2\0@="none"

{j Y@[?)q0IXPUB技术博客^*P5W*Y.Q/sJ

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

UAjAx@g0IXPUB技术博客Gz%H8[#VO

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
,x-R2z/t9i ^ [G0[/quote]IXPUB技术博客 e9qG#{Sb8{OL

IXPUB技术博客X-?_{4O.Vgz+k5_(D

最后显示系统文件、隐藏文件、显示隐藏文件夹,如下:IXPUB技术博客[|!s"`]#LY.Y

IXPUB技术博客']|]+SE9t

[quote]
4R7[.ppw%z;at0Windows Registry Editor Version 5.00

N^]$~b1]+rD C0IXPUB技术博客#n.JI"?HZK%K+?

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]IXPUB技术博客 m5NR+PB.R `
"Hidden"=dword:00000001IXPUB技术博客Z*p1{u`Tug
"HideFileExt"=dword:00000000IXPUB技术博客/cqv8Hp
"ShowSuperHidden"=dword:00000001IXPUB技术博客h$N } E{4G'J0N`K

W ycE+hW7I'O0[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

/SBS3x%yNu*{0IXPUB技术博客}5LN { k cB

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]IXPUB技术博客Y0O+y"d+^+iyX}
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"IXPUB技术博客-Le/E/`I&|W
"CheckedValue"=dword:00000002IXPUB技术博客1d]4n,{qX2B0]%~
"ValueName"="Hidden"IXPUB技术博客U9v j5T$W1N+M
"DefaultValue"=dword:00000002

,u0uuV3FOy!s;Z2^0IXPUB技术博客$C,`#_;S2Nt

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

(d1K%s'`&vg){O(^0

%_GfE mm0CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
2At-E,|;O)e*|UUl_0"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
9J ~*}]`2g+X^0"CheckedValue"=dword:00000001
D&~&I|YqP/X|0"ValueName"="Hidden"
9oO+M$m:X0\*v:exs0"DefaultValue"=dword:00000002IXPUB技术博客k-`X)Wa \,h
[/quote]IXPUB技术博客\dvo(?'lKv

U*a6D5R+WJ6dl0全盘扫尾IXPUB技术博客2B[3aXcF(Y9c.q
完成上述步骤后,被感染的用户可以通过修改回文件的:只读、系统、隐藏式属性来显视文件,其方法如下,依次点击:我的电脑—工具—文件夹选项—查看—将其内的[显示系统文件夹][显示所有文件和文件夹]两处地方选中打上钩,然后再次将查看里的[隐藏已知文件扩展名]里的钩去掉,点击确定退出即可。最后将计算机中的杀毒软件病毒更新到最新版本,然后进行全盘杀毒。(如杀毒软件无法运行,则需查看电脑日期时间是否为当前日,如非当前日更改回即可)

Aw ]+P)D"jp-]D.EM0

!l+k7bog1}8j0编者按:中毒不可怕,只要掌握该病毒进驻的过程,那么清除起来将十分简单,而如果对当前的病毒一无所知,那么在清除过程中将会一愁莫展,只得重新做系统,才能实现无毒操作。

y!i cUt0

导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2009-01-02  
    123
45678910
11121314151617
18192021222324
25262728293031

数据统计

  • 访问量: 63453
  • 日志数: 1187
  • 文件数: 1
  • 建立时间: 2007-08-10
  • 更新时间: 2009-01-02

RSS订阅

Open Toolbar