- FinCloud
-
机器狗/磁碟机/AV终结者专杀工具
http://www.duba.net/zhuansha/259.shtml
AUTO木马群专杀工具
http://www.duba.net/zhuansha/260.shtml
3.16-3.31感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:关于清理专家反复报告发现某恶意软件的处理办法
论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。
目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。
以下是本周10大病毒列表:
1.Auto病毒群(auto.exe)
详细信息,参阅http://bbs.duba.net/thread-21902724-1-1.html
2.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅http://bbs.duba.net/thread-21896365-1-1.html
3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
http://bbs.duba.net/thread-21891440-1-1.html
4.JS.fullexploit.ca.4678(乌鸦喝水4678)
感染日志类似于:
引用:
病毒名称JS.fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5O18HEZOP
病毒名称(中文):乌鸦喝水4678
威胁级别:★★☆☆☆
病毒类型:网页病毒
病毒长度:4678
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问网络的时候访问网络的时候挂马传播.
1.一旦病毒脚本溢出成功后,会从http://99.vc/s.exe上下载木马程序运行
2.该溢出脚本对应的漏洞溢出模块的CSLID如下:
baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9
BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2
迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F
受影响的realplayer版本号:
“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、
“Windows RealPlayer 10”、
“Windows RealOne Player v2 (6.0.11.853 - 872)”、
“Windows RealOne Player v2 (6.0.11.818 - 840)”
解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。
5.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir% 004bb58.inf
%sys32dir%{随机文件名}.dll(如byhfjm.dll)
%sys32dir%{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%{随机文件名}.sco(如byhfjm.sco)
%sys32dir%drivers{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost rtltvb rtltvb
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_RTLTVB
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices tltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
"Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
6.Win32.Troj.InjectT.gh.180736
升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。
查毒日志类似于
引用:
病毒 2008-03-11 22:43:46 C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5XFTMV4S629[1] Win32.Troj.InjectT.gh.180736 清除成功
7.Win32.Troj.OnLineGamesT.gr.2637
查毒日志类似于
引用:
Win32.Troj.OnLineGamesT.gr.2637
Win32.Troj.OnlineGamesT.zy.123185
Win32.Troj.Agent.ol.61440
Win32.Troj.OnlineGamesT.xy.44337
Win32.Troj.OnlineGamesT.gr.2637
问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)
病毒分析:
引用:
病毒类型:木马
文件大小:17836 byte
二、 病毒描述:
该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。
三、 行为分析
生成文件:
c:WINDOWSsystem32upxdnd.dll
c:WINDOWSupxdnd.exe
写注册表启动项目
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "upxdnd"
Type: REG_SZ
Data: C:WINDOWSupxdnd.exe
将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。
解决方案:
引用:
使用金山清理专家粉碎以下文件或升级到最新后查杀。
c:WINDOWSsystem32upxdnd.dll
c:WINDOWSupxdnd.exe
然后使用清理专家删除以下残留的注册表启动项目:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
upxdnd
8.Win32.Troj.RootkitT.k.16800
染毒日志类似于
引用:
win32.troj.RootkitT.k.16800 在c:windowsdirversvgavmwarelgtosync.sys
病毒名称(中文):病毒保护伞16800
威胁级别:★★☆☆☆
病毒类型:黑客工具
病毒长度:16800
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%system32driversgxni6qsaoe.sys和%systemroot%system32
mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%system32mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
9.Win32.Troj.AgentT.fm.14452
病毒分析:
病毒名称(中文):网游盗贼14452
威胁级别:★★☆☆☆
病毒类型:偷密码的木马
病毒长度:14452
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。
1.病毒运行后,产生以下病毒文件(文件名不定)
C:WINDOWSsystem32avzxest.exe
C:WINDOWSsystem32avzxemn.dll
C:WINDOWSsystem32avzxein.dll
c:WINDOWSFontsmszhasd.fon
2.将C:WINDOWSsystem32avzxemn.dll添加到执行挂钩HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks,以便随系统启动。
3.将C:WINDOWSsystem32avzxemn.dll添加到HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls,以便随系统启动。
4.病毒运行后,会删除自身,用户发现文件点击后消失。
5.修改注册表,禁用系统防火墙和自动更新功能。
6.不断地写2、3提到的注册表项,防止被删除。
7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.
清除方案:
使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。
c:windowssystem32avzxest.exe
c:windowssystem32avzxemn.dll
c:windowssystem32avzxein.dll
c:windowsFontsmszhasd.fon
重启后,再用清理专家修复注册表中的残留信息。
10.Win32.TrojDownloader.Agent.49152
这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。
查毒日志类似于
引用:
C:WINDOWSsystem32jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒
C:WINDOWSsystem32drivers820p.sys中了win32.TrojDownloader.HmirT.a.25920
中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(http://bbs.duba.net/thread-21893089-1-1.html)
参考资料:http://bbs.duba.net/thread-21904481-1-1.html
- 北有云溪
-
可能是那游戏附带上了下载病毒的软件
- kikcik
-
现在有的文件中带有顽固下载程序..你的机器一连网就会迅速的启动他..他会不停的下载病毒!木马!
建议下载个360安全卫士,在断网情况下查杀~
下载地址~:http://www.360.cn/
- tt白
-
说那么多难学,简单来说,重新分区,再重新装系统就好了,保证,那病毒杀不完的!