病毒分析 木马U.EXE解决之道
上一篇 /
下一篇 2008-02-12 23:31:55
�S�m,i�q�G8g0网络中的病毒木马是一天强过一天,随时威胁着网民的电脑安全,虽然木马病毒的感染形式与途径不一样,但都深具危害性,用户稍一不慎即将让爱机感染病毒木马。虽然中了病毒木马的计算机可以经过重装或进行GHOST系统还原,但数据丢失却十分令人烦心。
.k
?�F5?�g�Y�G0%o�g O-{�K9@'m2o0u.exe病毒简介IXPUB技术博客�\�a�c�t1U�l�K!@
今天登陆一个不知名的站点时,突然金山清理专家报有程序在后台被下载,没等看清楚浏览器就自行关闭了,立即查看日志发现有一个U.EXE程序被下载到C盘根目录下。
�G1j�{%Z+p2i�o�^(C0$} l�T(Y�N�M1x&U�E g0通过分析,u.exe是一个可以通过漏洞MS04-007、MS04-011、MS03-026、MS05-039进行攻击传播的黑客后门病毒,其主要危害是连接IRC聊天服务器,接收恶意用户指令执行相应操作,使用户电脑被远程控制,沦为“肉鸡”。 中了u.exe的计算机,交会在C盘下面产生一个名为u.exe的程序,在进程中创建一个win32ssr.exe进程。 并且该u.exe程序还会链接恶意网站,从后台下载另类病毒木马程序到当前电脑中,网民请查看C盘目录下是否存在u.exe程序,如果发现就需要立即采取应对措施,以防止病毒木马扩散。
�I"C�w�[�v0IXPUB技术博客
W6c R�l8@7N�e-l$K�n�E技术分析u.exe
�R�_&b
a8n�a�G�j0 如果一台计算机中了u.exe病毒,首先会在硬盘的%windows%目录下生存win32ssr.exe源程序,随后该程序将自动在注册表启动项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Sr"ImagePath" =中添加"%windows%\win32ssr.exe" 项目,并随后链接网络下载病毒到%systemRoot%\DOCUME~1\ADMINI~1\LOCALS~1\Temporary Internet Files文件夹下,最后将自身拷贝为c:\U.exe并予以执行。
�{%u*Y"u�N�V09T�p�j A�W0U.exe病毒一但运行,那么会接着在目录%windows%\system32下生存perfont.exe文件;在%windows%\system32\drivers下生存netpt.sys文件;最后在%windows%\system32\wbem目录下生存wmiprvi.dll文件,以达完成自身启运需求。IXPUB技术博客9n)o�w�M�A�u�C�d*d�E
IXPUB技术博客�K
Q
G
C�V(S�p当完成此步后,病毒开始转战注册表,其添加的注册表项目如下:
%M)J;v�f�D0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetPT"ImagePath" = "%system%\drivers\netpt.sys"IXPUB技术博客2{,O-\�c5p�c�E(r�Z�p2r�s
IXPUB技术博客 f'k�A4@'Q,O"O0J!}$g�yHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfFont"ImagePath" = "%system%\perfont.exe"
.T�O�q!{"z5U0�P2^'{4X�p0HKEY_CLASSES_ROOT\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}IXPUB技术博客�D�T/{
a�U;@�p+e�w
IXPUB技术博客-E�O"[�e'K6I
y,W解决方法IXPUB技术博客&Z Q4N+W%R"S
P6S
用户如果发现其C盘中含有该程序后,可利用上述分析过程,一步一步进行相关删除即可,或者将各大杀毒软件升级到当前最新病毒库进行断网后的全盘查杀,以达彻底杀死该病毒,最后可以利用第三方安全软件如:恶意软件清理助手、超级巡警等,将系统临时目录与IE缓存清空,让病毒无处可藏。IXPUB技术博客�K�{�~8L�@�b�h
IXPUB技术博客�s�v&w3@!o�z4P
w'W�k编者按:病毒时代,网民要遇毒冷静,千万不可在明知感染病毒木马的情况下依然报着侥幸的心理去打开各种帐号如:网络银行、电子信箱、OICQ、股市账号等,尽力保护自身,避免因病毒木马带来的个人财产损失及危害。IXPUB技术博客�c
M�F"A:B�`6J
导入论坛
引用链接
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
