1.病毒运行后,产生以下病毒文件
\Program Files\meex.exe
\Program Files\Common Files\Microsoft Shared\mhlclyg.inf
\Program Files\Common Files\Microsoft Shared\xnxlufi.exe
\Program Files\Common Files\System\mhlclyg.inf
\Program Files\Common Files\System\yyjnldu.exe
以上文件名根据病毒的实际数据会有所变化。
2.原始病毒程序释放副本之后,会删除自身。
3.在注册表中添加键值,让病毒副本随系统自动启动。
4.劫持大部分安全软件,以保护自身。禁用的安全软件有:360安全卫士,金山清理专家,windows优化大师,Ghost软件,
TinyFirwall, 超级巡警, SREng等。
5.破坏安全模式,让中毒者无法进入windows模式。
6.禁用windows防火墙,帮助中心,自动更新。
7.遍历D:到Z:, 向这些分区上释放autorun病毒副本和autorun.inf文件。当用户双击或选择右键菜单中的打开菜单项时运行病毒。
本样本的文件名为nhbivui.exe。
8. 从网上下载其他病毒文件到本地,并运行这些下载的病毒文件。
9. 修改注册表,使中毒者无法显示隐藏文件和系统文件。7.Win32.Troj.Autorun.go.15173
威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:15173
影响系统:WinNT Win2000 WinXP
病毒行为:
引用:
病毒把本身复制到 %SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的 svchost.exe 。8.Win32.Troj.Poebot.70754.E959B747
创建系统服务使病毒自身能达到开机自动运行。
结束以下进程:
KASMain.exe
kpfwsvc.exek
添加文件:
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe
添加注册表:
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
威胁级别:★★☆☆☆
病毒类型:木马程序
病毒长度:70754
影响系统:WinNT Win2000 WinXP Win2003
病毒行为:
引用:
该病毒运行后复制自身至系统文件夹,然后创建批处理删除自身,并通过伪装winamp播放器进程运行。病毒打开用户计算机后门,允许远程攻击者控制用户计算机,包括收集、下载、盗取用户信息,对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址,并利用系统漏洞及自身的密码字典,尝试破解弱密码,来进行恶意攻击和传播。
另外,该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。
1.复制自身至
%sys32dir%\winamp.exe
然后用批处理删除自身
2.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winamp Agent "%sys32dir%\winamp.exe"
3.盗取以下软件用户信息(帐号、密码、CD-Keys):
FlashFXP
internet explorer
OutlookExpress
MSN Explorer
UnrealIRCD
Steam
World Of Warcraft
Conquer>9.Win32.BMW.a.57347
病毒名称(中文):寄生虫下载器57347
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:57349
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:引用:
这是一个感染型病毒。它运行后,会尝试关闭部分杀毒软件,并遍历硬盘和网络共享进行感染,同时还尝试连接网络下载其他病毒。10.Win32.Troj.Unknown.b.81920
1.病毒运行后,释放感染源到系统临时目录,并加载运行,遍历磁盘和网络共享盘寻找exe文件进行感染。
2.连接网络下载其他病毒。
3.关闭部分安全软件:kav.exe|kv.exe|avp.exe|rav.exe|KVSrvXP.exe|KVSrvXP_1.exe|Mcshiel
4.创建名为ntapisvc,描述为Windows api Security Center的系统服务。
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:81920
影响系统:WinNT Win2000 WinXP
病毒行为:引用:
这是一个下载者病毒,病毒会把客户计算机里的安全软件警告都关闭掉,使客户计算机里的安全软件失去作用.病毒在客户计算机上的每个盘下生成 AutoRun.inf 和 Dser.exe 文件.病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行.
病毒成功在客户计算机上运行后把自身复制到客户计算机的 %SystemRoot%\system32\ 文件夹下.
病毒会注册表服务项以达到开机自启动的作用.
病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.
病毒生成的文件:
%SystemRoot%\system32\Dser.exe
病毒添加的注册表项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"
病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe解决方案:
1.局域网的用户要注意ARP攻击强行下载盗号木马,可以安装金山ARP防火墙来防范
参考:金山ARP防火墙功能简介及1.2正式版下载
2.对于木马下载器,本身可以升级更新,下载的木马可以定向投放,也一样可以随时更新。不能保证杀毒软件可以查杀该下载器相关的所有病毒木马,毒霸2008的用户可以将毒霸和清理专家结合使用。
先用毒霸查杀病毒,同时,再用清理专家清除恶意软件。
通常,这两招用完后,可以将大部分下载的木马搞定,包括木马破坏的注册表键。重启电脑之后,如果发现清理专家或毒霸仍有报告。就说明,还有下载器本身,或某个变种未解决。
这时,建议使用清理专家的在线系统诊断功能,注意在联网的情况下,对未知的加载项进行操作。可以将某些加载项禁用(对自己不清楚的,不推荐使用修复,以免误操作)。
有关清理专家的使用,参考:
金山毒霸2008系列教程——清理专家功能篇
关于清理专家反复报告发现某恶意软件的处理办法
3.部分病毒或木马破坏了系统文件,目前发现多例病毒会破坏userinit.exe和explorer.exe,这两个关键的系统文件被破坏会导致windows登录故障。但都可以从%system32%\dllcache中恢复,只需要从这里把备份的同名文件COPY到%system32%目录就可以了。
有关userinit.exe和explorer.exe的修复,可参考:userinit.exe异常的全面解决方案常用手动杀毒工具下载
毒霸热门病毒专杀或修复工具总结