空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

分析清除Worm.Win32.AutoRun.bqn病毒

上一篇 / 下一篇 2008-01-16 22:15:09

网民在进行网络活动时，经常会遇到系统时间被改，文件被隐藏，甚至各个盘符打不开，而杀毒软件却因为系统时间的关系形成无法启动，虽然可以通过重装系统来解决，但重装过后的计算机病毒还是会在用户不小心时进驻系统，发作时将直接导至用户机为病毒木马敞开了大门，以至于让更多的木马病毒感染用户机。

   病毒启动文件分析IXPUB技术博客oCB&{%V?q4?5|&[
    该病毒名为Worm.Win32.AutoRun.bqn属于蠕虫病毒，病毒虽然只有21,504(字节)，但其危力却不容任何人小视。病毒一但进入到用户计算机，首先会在主分区 %SystemRoot%\下释放出副本文件EXPL0RER.EXE可执行程序及autorun.inf文件，其内容如下：
#~3Oz1f+h.o0    [autorun]
#o },a`"Cp"V2nn0    pen=EXPL0RER.EXE
&w)NS:|b1f$P0f}P"r0    shell\open=打开(&O)
!rEFg%v\@`0    shell\open\Command=EXPL0RER.EXEIXPUB技术博客i)s3~[Us\
    shell\open\Default=1IXPUB技术博客*PcZL"j?)\6F
    shell\explore=资源管理器(&X)IXPUB技术博客0R;mR0K^Di2t.J#C
    shell\explore\Command=EXPL0RER.EXE

病毒运行后，将根据文件夹名来感染生成对应的文录名.exe文件，随后自动修改生成的文件夹属性为只读、系统、隐藏式，实现将自身隐匿的效果，而用户看到的文件夹图标的都是病毒所修改后的图标，让其无法查觉真实的病毒。

1注册表对比IXPUB技术博客 N:}5Ev]k
此时病毒依然按照套路篡改注册表，以达不显示隐藏文件、系统文件和扩展名的效果，让用户在点击：工具-文夹件选项—查看—显视所有文件和文件夹时无法查看隐藏文件，更无从删除的目的。其注册表对应变化如下：

k|n0Mj/T^0 修改前 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1" IXPUB技术博客4|(bT%w@0M,GN kU
修改后 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"IXPUB技术博客|6fJob

修改前 HKLM\SOFTWARE\Classes\Directory\shell\: "none"IXPUB技术博客}|fsz-e1I
修改后 HKLM\SOFTWARE\Classes\Directory\shell\: "open"

修改前 HKLM\SOFTWARE\Classes\Drive\shell\: "none"IXPUB技术博客4z*Qtn'K+_8v'[
修改后 HKLM\SOFTWARE\Classes\Drive\shell\: "open"IXPUB技术博客n7Z.]&Yq2{W y3c

2R)It0OB5Qm0 修改前 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""IXPUB技术博客j.ag~mI2v
修改后 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"

修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
$x]/]o W$D0 修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003IXPUB技术博客*m_[@!c j"R vN

修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001IXPUB技术博客!Q Ux @Kt iPl
修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002IXPUB技术博客pM2Wn#c7]E

清除方案
`9c\+\9q0 网民可以通过下载使用wsyscheck或冰刃来进行修复删除处理。下面以wsyscheck 为例，首先打开 wsyscheck.exe —进程管理－结束病毒进程EXPL0RER.EXE并删除；然后利用SREng修复文件关联功能依次如下：系统修复－文件关联－全选－自动修复即可；然后修复磁盘与文件夹打开方式，其字符如下：

[quote]IXPUB技术博客:v+BToD?0X
Windows Registry Editor Version 5.00IXPUB技术博客UIs2P P3s.[ N)q

;C#~l~KjA@0 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
J-q[E]9YC!g0 @="none"IXPUB技术博客%wZm&M'?

6Ff2aKu&z[:t0 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]IXPUB技术博客hM9m&f j2tt~ ~m

7H5O4Fa5Om@/O0 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]IXPUB技术博客 L?gzb$_,zd

n8M8P9F"g:nP%BH0 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
i rVQ_3kH?X0 @="none"

(PZ[g"Spm0 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
5EY2rg"w2H?0 [/quote]IXPUB技术博客MPv.ENG2\ \

`Ohn/~F(a3a0 最后显示系统文件、隐藏文件、显示隐藏文件夹，如下：

^r0CV^C(Q0 [quote]
f;d|2d:G-d!B"hr0 Windows Registry Editor Version 5.00IXPUB技术博客~/NoKE\BK b-ii

Z;N9K7B"d;z8]0    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
~4yE)M/y] {v0    "Hidden"=dword:00000001
~t#g8["k:jF`7|` B0    "HideFileExt"=dword:00000000IXPUB技术博客n r/X/WT'p)m
    "ShowSuperHidden"=dword:00000001IXPUB技术博客H!^O*{4t9aE6Q

I/KGZ+x0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IXPUB技术博客P:KTp)E/f

    CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]IXPUB技术博客7wV{(x\!H1x$|!b
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"IXPUB技术博客` Lg^}:BM"X}T&Z
    "CheckedValue"=dword:00000002
!b,yhiu$H0    "ValueName"="Hidden"IXPUB技术博客[3w,F(KRO/Y l
    "DefaultValue"=dword:00000002IXPUB技术博客g{9_ PP6\

r#r7O}\"r3u:F)E0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\IXPUB技术博客,c,Tk2f%],{{dF

    CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
3dAna Z!k(YH0    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
&_,y+K*_U;M0    "CheckedValue"=dword:00000001IXPUB技术博客&w,v%j'B-V7}-Y\9nN
    "ValueName"="Hidden"
$Z#xLAa}2Q7]0    "DefaultValue"=dword:00000002
"|5Ekk;k;B:Vr0    [/quote]IXPUB技术博客-C,^"R6Ufb#~0Gj