词条 | Virus.Win32.AutoRun.hw |
释义 | Virus.Win32.AutoRun.hw病毒查杀 一、 病毒标签: 病毒名称: Virus.Win32.AutoRun.hw 病毒类型: 下载者 文件 MD5:e7bcf531a6ef19d51dfa0b3f61e3f370 公开范围: 完全公开 危害.等级: C 文件长度: 18.5 KB (18,944 字节) 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: 18.5 KB (18,944 字节)壳 命名对照: 江民 Virus.Autorun.es 熊猫 Generic Malware 瑞星 Trojan.DL.Win32.Autorun.yui AntiVir TR/Delphi.Downloader.Gen 二、 病毒描述: 该病毒为下载者,打开隐.藏IE进程,通过UrlDownloadToFileA函数连接网.络下载: http://down.dj7788.cn/arp/0.exe http://down.dj7788.cn/arp/1.exe http://down.dj7788.cn/arp/2.exe http://down.dj7788.cn/arp/3.exe http://down.dj7788.cn/arp/4.exe http://down.dj7788.cn/arp/5.exe http://down.dj7788.cn/arp/6.exe http://down.dj7788.cn/arp/7.exe http://down.dj7788.cn/arp/8.exe http://down.dj7788.cn/arp/9.exe http://down.dj7788.cn/arp/10.exe http://down.dj7788.cn/arp/11.exe http://down.dj7788.cn/arp/12.exe http://down.dj7788.cn/arp/13.exe http://down.dj7788.cn/arp/14.exe http://down.dj7788.cn/arp/15.exe http://down.dj7788.cn/arp/16.exe http://down.dj7788.cn/arp/17.exe http://down.dj7788.cn/arp/18.exe http://down.dj7788.cn/arp/19.exe 该域名在前段时间因为17大的来临被.我提交给CERT的ATEK了,已经被和谐处理,所以下载失败。 只需要.下载专杀程序进行清理就可以了。 三、 行为分析 通过拦截窗口并用虚拟键盘输出绕过瑞星卡卡上网安全助手的IE防漏墙: UPX0:00405BE1 ; --------------------------------------------------------------------------- UPX0:00405BE2 align 4 UPX0:00405BE4 ; char WindowName[] UPX0:00405BE4 WindowName db ''''IE 执行保护'''',0 ; DATA XREF: StartAddress+32 o UPX0:00405BF0 ; char ClassName[] UPX0:00405BF0 ClassName db ''''#32770'''',0 ; DATA XREF: StartAddress+37 o UPX0:00405BF0 ; StartAddress+4C o UPX0:00405BF0 ; StartAddress+17F o UPX0:00405BF7 align 4 UPX0:00405BF8 ; char s_IeGD[] UPX0:00405BF8 s_IeGD db ''''IE执行保护'''',0 ; DATA XREF: StartAddress+47 o UPX0:00405C03 align 4 UPX0:00405C04 ; char s_A_0[] UPX0:00405C04 s_A_0 db ''''允许执行'''',0 ; DATA XREF: StartAddress+6C o UPX0:00405C0D align 10h UPX0:00405C10 ; char s_Button[] UPX0:00405C10 s_Button db ''''Button'''',0 ; DATA XREF: StartAddress+71 o UPX0:00405C10 ; StartAddress+F8 o UPX0:00405C10 ; StartAddress+198 o UPX0:00405C17 align 4 UPX0:00405C18 ; char s_I[] UPX0:00405C18 s_I db ''''确定'''',0 ; DATA XREF: StartAddress:loc_405A7F o UPX0:00405C1D align 10h UPX0:00405C20 ; char s_IIL-IeI[] UPX0:00405C20 s_IIL-IeI db ''''瑞星卡卡上网安全助手 - IE防漏墙'''',0 UPX0:00405C20 ; DATA XREF: StartAddress:loc_405B06 o UPX0:00405C40 ; char s_A[] UPX0:00405C40 s_A db ''''允许'''',0 ; DATA XREF: StartAddress+193 o UPX0:00405C45 align 4 UPX0:00405C48 UPX0:00405C48 ; *************** S U B R O U T I N E *************************************** 添加启动项目: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Winownes "ImagePath" Type: REG_EXPAND_SZ Data: C:\\WINDOWS\\syst.em32\\sedrsvedt.exe 添加文件: c:\\WINDOWS\\system32\\sedrsvedt.exe Date: 10-16-2007 7:19 PM Size: 18,944 bytes *:\\autorun.inf 解决方案: 删除文件: C:\\WINDOWS\\system3.2\\sedrsvedt.exe *:\\autorun.inf 删除注册表: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Winownes "ImagePath" Type: REG_EXPAND_SZ Data: C:\\WINDOWS\\system32\\sedrsvedt.exe SRENG: [Telephotsgoogle / Winownes][Stopped/Auto Start] {C:\\WINDOWS\\system32\\sedrsvedt.exe}{N/A} 或者下载专杀程序进行清除 Virus.Win32.AutoRun.hw病毒专杀工具下载 【原文地址:http://secure.itdigger.com/2007/10/16/203519546.htm 】 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。