您的位置:程序门 -> windows专区 -> 安全技术/病毒



两个通过u盘传播的病毒及其清除办法(卡巴等均无法查出)


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


两个通过u盘传播的病毒及其清除办法(卡巴等均无法查出)
发表于:2007-11-13 17:25:43 楼主
今天试了一下clamwin还是查不出来,其实杀病毒软件没有试。这几天太忙了一直没有进一步的分析。

http://bbs.telreading.com/viewthread.php?tid=61982
----------------------------------------------------------------------------------------------------------
这两个病毒目前杀毒软件都检查不出来,所以放上来共享给大家。最好在插入u盘时按左shift键禁止自动运行,或修改注册表禁止自动运行(具体哪个项大家自己在网上搜索一下了)。
当然禁止运行之后如果双击打开u盘还是会导致运行,应该用右键选择打开;不过第二个病毒有两个打开,一定要选择非缺省的那个。最好每次先用命令行通过dir   /a查看所有文件看有没有可疑的文件。


第一个病毒:
1.   在u盘中有setup.exe(19456字节)和autorun.inf(85字节);如果计算机已经感染新插入u盘会生成这两个文件。
2.   关机很慢。
3.   控制面板中的自动更新无法打开。
4.   在%systemroot%\system32\drivers目录下有一个和setupexe完成相同的svchost.exe文件。
5.   右键菜单中有一个auto。

清除办法:
1.   用tasklist   /svc看哪个svchost.exe是wuauserv服务,然后通过pid用任务管理器或taskkill命令杀掉它。用sysinternals的   process   explorer也可以,它能看到进程对应的服务,不过可执行程序显示的不对,看不到是system32\drivers下的。
2.   用注册表编译器修改windows自动更新服务[hkey_local_machine\system\currentcontrolset\services\wuauserv]:
      imagepath:   %systemroot%\system32\svchost.exe   -k   netsvcs
      type:   0x20
3.   删除%systemroot%\system32\drivers\svchost.exe。
4.   重启计算机。
由于时间关系没有仔细分析出它做了什么(可能还在试图连接网络,zonealarm监控到它做dns请求),但用上述方式恢复出来的计算机都正常了(不过有可能某些注册表项会成为垃圾)。


第二个病毒:
1.   无法打开任务管理器(打开之后迅速关闭)。
2.   在某个分区的根目录下设置为可以查看所有文件之后,可以看到administrator.vbs(33842字节)和autorun.inf,但一切换目录它就又把选项改回去看不到了。

这个病毒比较恶心,目前已经确认的是它会修改硬盘中的html文件(但具体插入什么代码没来得及分析),其它文件还没有确认。
清除办法:
1.   中止wscript.exe进程。由于任务管理器打不开,可以下载sysinternals的process   explorer。
2.   删除每个分区下的administrator.vbs和autorun.inf;注意不要使病毒再次运行了,最好用命令行来删除。另外在%   systemroot%\和%systemroot%\system32\也写入了administrator.vbs,改把它们都删掉。
3.   修改注册表项中的chm.file/hlpfile/regfile/txtfile:
      [hkey_classes_root\chm.file\shell\open\command]:   "hh.exe"   %1
      [hkey_classes_root\hlpfile\shell\open\command]:   winhlp32.exe   %1
      [hkey_classes_root\regfile\shell\open\command]:   regedit.exe   "%1"
      [hkey_classes_root\txtfile\shell\open\command]:   c:\windows\notepad.exe   %1
4.   重新启动。
5.   被感染的.htm/.html文件比较麻烦,目前还没有分析里面做了什么手脚,最好把它们都删除掉。


补充一点

防止病毒还有一个比较好的方法是平时不要用管理员登录,在2000/xp下可以用一个属于power   users的用户,一般功能都可以用,但一些需要内核功能的软件无法安装,如这两个病毒我测试过如果不是管理员登录的就不会感染。
比较麻烦的是windows下的许多软件已经相当然地需要管理员权限才能运行,如金山词霸如果是普通用法跑不起来,而如果是power   users则虽然能运行,但取词经常崩溃。

不要过份相信那些杀毒软件,还是要自己平时小心,重要的东西一定要多备份。
发表于:2007-11-13 20:32:581楼 得分:0
卡巴看到u盘病毒是一律视为正常的,对u盘病毒几乎是不能查杀!
发表于:2007-11-23 23:52:592楼 得分:0
我自己发的帖子好像不能修改,只好直接用回复的方式增加内容了。

------------------------------------------------------------------------------------------
vbscript病毒的一些分析进展

今天实在是头昏脑胀的,晚上突发奇想决定分析前一段时间的病毒换一下脑子。由于工作的原因,熟悉的是powerpc的指令,intel都忘得差不多了,而且没有搞过多少深入的windows编程用ollydbg很吃力,所以决定柿子还是要捡软的捏:)
通过代码分析和测试,发现那个vbscript病毒有自删除的功能。下面是一些简单的分析:
1.   病毒感觉系统时会感觉c盘中所有的.hta/.htm/.html/.asp/.vbs文件把自己插入进去。单纯的病毒文件是以系统的当前用户名命名的,所以不一定是administrator.vbs。
2.   病毒会搜索c盘中所有的mpg/rmvb/avi/rm文件,如果判断其名称感觉是×就把它删除。
3.   在%systemroot%\system32下除了病毒本身之外还生成一个[当前用户名].ini的配置文件,例如:
        ok
        2007-11-23
        order:infectfiles@1000

而通过病毒对.ini文件的使用我们可以让用它来自动删除,这样还比较干净,能恢复所有被感染的文件:
1.   终止病毒的进程(后面补充)。
2.   修改病毒文件:
        order:killvirus@1000
        2007-11-23
        ok
3.   运行病毒的.vbs。

对于自删除实际上只有第一条有效,并且@后面可以是任意数据。不过第3行有个比较有意思的功能,把它改为admin,再运行病毒就会出现一个对话框,可以选项直接退出、监视系统或感染文件。不过如果已经感染并且刚杀了进程和增加了killvirus,则应该选择感染文件,此时会运行到后面的卸载功能。

感染之后cmd.exe和taskmgr.exe都无法使用,如何杀死wscript.exe呢?除了原来提到的process   explorer,实际上还是有办法的:
1.   生成一个批处理调用tasklist并重定向到文件,然后在里面找到wscript.exe再生成一个批处理调用taskkill   /f   /pid   xxx把它杀掉,或干脆直接用taskkill   /f   /im   wscript.xe。
2.   在开始菜单-> 运行里面用xcopy(此处不能用copy)把cmd.exe或taskmgr.exe(%systemroot%\   system32\)新拷贝一份其它的名称,然后就可以运行并终止进程了(病毒是以映像名直接判断的,也就是可执行程序的名称)。

为了防止滥用,病毒的代码我不能放上来。
发表于:2007-11-24 00:13:403楼 得分:0
补充两点

1.   如果删除时运行的病毒不是%systemroot%\system32或根目录下的.vbs,此这个文件不会自动删除,此时应该手工删除,千万不要再次运行,因为此时.ini文件也删除了,再运行就又变成感染了。
2.   用病毒的自杀功能一定要先终止它的进程,感觉有可能是作者的一些失误。
发表于:2007-11-24 06:55:174楼 得分:0
希望更强才好办
发表于:2007-11-24 15:19:305楼 得分:0
ls的是啥意思?没看明白。

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击