| 词条 | Worm.Win32.AutoRun.egq |
| 释义 | 病毒标签:病毒名称: Worm.Win32.AutoRun.egq 病毒类型: 蠕虫 文件 MD5: B4517E322F1EA374587DF696FA06D8B8 公开范围: 完全公开 危害等级: 4 文件长度: 35,745 字节 感染系统: Windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: FSG 2.0 病毒描述:该病毒属蠕虫类,病毒运行后,复制自身到各驱动器根目录和%System32%下,更名 为nktokedn.exe,并衍生autorun,inf文件,复制自身到%System32%下,更名为 nfpdduax.exe;并在%System32%下衍生病毒文件,修改注册表,添加两处启动项,针对 安全软件添加大量映像劫持;修改注册表,将部分服务的启动方式设置为“已禁用”,使 “文件夹选项”中“隐藏受保护的操作系统文件(推荐)”选项不可见,将隐藏文件的显 示方式更改为“不显示隐藏文件和文件夹”;删除相关注册表项,使文件夹选项中“显示 隐藏文件和文件夹选项” 不可见,删除注册表安全模式启动下驱动加载项,使感染机器无 法启动安全模式;连接网络下载病毒文件并运行, 病毒运行完毕后,删除自身。 行为分析:本地行为: 1、文件运行后会释放以下文件: %DriveLetter%\ktokedn.exe 35,745 字节 %DriveLetter%\\autorun.inf 153 字节 %HomeDrive%\ktokedn.exe 35,745 字节 %HomeDrive%\\autorun.inf 153 字节 %System32%\fpdduax.inf 153 字节 %System32%\ktokedn.exe 35,745 字节 %System32%\fpdduax.exe 35,745 字节 %System32%\\fgayml.nls 35,745 字节 %System32%\\fgayml.dll 35,745 字节 2、新增注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值: "nfpdduax.exe" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\fpdduax.exe" 描述:启动项,使病毒文件随系统启动 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值: "nktokedn.exe" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\ktokedn.exe" 描述:启动项,使病毒文件随系统启动 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\劫持的文件名称] 注册表值: "Debugger" 类型: REG_SZ 值:"ntsd -d" 描述:映像劫持,使被感染机器在执行指定的文件名时, 将执行病毒文件。 劫持的文件名列表如下: 360rpt.exe、360Safe.exe、360tray.exe、adam.exe、 AgentSvr.exe、AntiU.exe、AoYun.exe、appdllman.exe、 AppSvc32.exe、ArSwp.exe、AST.exe、auto.exe、 AutoRun.exe、autoruns.exe、av.exe、AvastU3.exe、 avconsol.exe、avgrssvc.exe、AvMonitor.exe、 avp.com、avp.exe、AvU3Launcher.exe、CCenter.exe、 ccSvcHst.exe、cross.exe、Discovery.exe、 DubaTool_AV_Killer72.COM、EGHOST.exe、FileDsty.exe、 FTCleanerShell.exe、FYFireWall.exe、ghost.exe、 guangd.exe、HijackThis.exe、IceSword.exe、 iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、 kabaload.exe、KaScrScn.SCR、KASMain.exe、 KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、 KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 kernelwind32.exe、KISLnchr.exe、kissvc.exe、 KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、 KPfwSvc.exe、KRegEx.exe、KRepair.com、KsLoader.exe、 KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、 KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、 kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、 KWatch9x.exe、KWatchX.exe、loaddll.exe、logogo.exe、 MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、 msconfig.exe、Navapsvc.exe、Navapw32.exe、 NAVSetup.exe、niu.exe、nod32.exe、nod32krn.exe、 nod32kui.exe、NPFMntor.exe、pagefile.exe、 pagefile.pif、PFW.exe、PFWLiveUpdate.exe、 QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、 QQKav.exe、QQSC.exe、Ras.exe、Rav.exe、RavMon.exe、 RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、 regedit.exe、regedit32.exe、rfwcfg.exe、rfwmain.exe、 rfwProxy.exe、rfwsrv.exe、RsAgent.exe、Rsaupd.exe、 rstrui.exe、runiep.exe、safelive.exe、scan32.exe、 ScanU3.exe、SDGames.exe、SelfUpdate.exe、servet.exe、 shcfg32.exe、SmartUp.exe、sos.exe、SREng.EXE、 SREngPS.EXE、symlcsvc.exe、SysSafe.exe、TNT.Exe、 TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、 TxoMoU.Exe、UFO.exe、UIHost.exe、UmxAgent.exe、 UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、 UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、 vsstat.exe、webscanx.exe、WoptiClean.exe、 Wsyscheck.exe、XDelBox.exe、XP.exe、zjb.exe、 zxsweep.exe、~.exe 3、修改注册表: [HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Explorer\\Advanced] 新建键值:DWORD:"ShowSuperHidden"="0" 原键值:DWORD:"ShowSuperHidden"="1" 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 描述:不显示系统文件 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden] 新建键值:字串:"Type"="checkbox2" 原键值:字串:"Type"="checkbox" 描述:使“文件夹选项”中“隐藏受保护的操作系统文件(推荐)” 选项不可见 [HKEY_LOCAL_MACHINE\\SYSTEM \\ControlSet001\\Services\\helpsvc] 新建键值:DWORD:"Start"="4" 原键值:DWORD:"Start"="2" 描述:禁用系统帮助服务 [HKEY_LOCAL_MACHINE\\SYSTEM \\ControlSet001\\Services\\SharedAccess] 新建键值:DWORD:"Start"="4" 原键值:DWORD:"Start"="2" 描述:禁用系统防火墙服务 4、删除注册表键值: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\Hidden\\SHOWALL] 注册表值: "CheckedValue" 类型:DWORD 值: "1" 描述:使文件夹选项中“显示隐藏文件和文件夹选项” 不可见 [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Control\\SafeBoot\\Minimal \\] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" 描述:安全模式启动需要加载的相关驱动 [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Control\\SafeBoot\etwork \\] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" 描述:安全模式启动需要加载的相关驱动 [HKEY_LOCAL_MACHINE\\SYSTEM \\CurrentControlSet\\Control \\SafeBoot\\Minimal \\] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" 描述:安全模式启动需要加载的相关驱动 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Control\\SafeBoot\etwork \\] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" 描述:安全模式启动需要加载的相关驱动 网络行为: 1、连接网络下载病毒文件: http://xiaodao****.1cs.cn/serverovr.exe 文件错误,无法运行。 http://xiaodao****.1cs.cn /1.exe 无法下载 http://xiaodao****.1cs.cn /2.exe 无法下载 http://xiaodao****.1cs.cn /3.exe 无法下载 http://xiaodao****.1cs.cn /4.exe 无法下载 http://xiaodao****.1cs.cn /5.exe 无法下载 http://xiaodao****.1cs.cn /6.exe 无法下载 http://xiaodao****.1cs.cn /7.exe 无法下载 http://xiaodao****.1cs.cn /8.exe 无法下载 http://xiaodao****.1cs.cn /9.exe 无法下载 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案:1 、使用安天防线2008可彻底清除此病毒(推荐安天防线下载地址:http://www.antiyfx.com/download.htm 。 2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用安天防线2008“进程管理”关闭病毒进程。 nktokedn.exe、nfpdduax.exe (2)删除病毒文件: %DriveLetter%\ktokedn.exe %DriveLetter%\\autorun.inf %HomeDrive%\ktokedn.exe %HomeDrive%\\autorun.inf %System32%\fpdduax.inf %System32%\ktokedn.exe %System32%\fpdduax.exe %System32%\\fgayml.nls %System32%\\fgayml.dll (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项: <1> 删除注册表项: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值: "nfpdduax.exe" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\fpdduax.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run] 注册表值: "nktokedn.exe" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\ktokedn.exe" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options \\劫持的文件名称] 注册表值: "Debugger" 类型: REG_SZ 值:"ntsd -d" 劫持的文件名列表如下: 360rpt.exe、360Safe.exe、360tray.exe、 adam.exe、AgentSvr.exe、AntiU.exe、 AoYun.exe、appdllman.exe、AppSvc32.exe、 ArSwp.exe、AST.exe、auto.exe、AutoRun.exe、 autoruns.exe、av.exe、AvastU3.exe、 avconsol.exe、avgrssvc.exe、AvMonitor.exe、 avp.com、avp.exe、AvU3Launcher.exe、 CCenter.exe、ccSvcHst.exe、cross.exe、 Discovery.exe、DubaTool_AV_Killer72.COM、 EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、 FYFireWall.exe、ghost.exe、guangd.exe、 HijackThis.exe、IceSword.exe、iparmo.exe、 Iparmor.exe、irsetup.exe、isPwdSvc.exe、 kabaload.exe、KaScrScn.SCR、KASMain.exe、 KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、 KAVPFW.exe、KAVSetup.exe、KAVStart.exe、 kernelwind32.exe、KISLnchr.exe、kissvc.exe、 KMailMon.exe、KMFilter.exe、KPFW32.exe、 KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、 KRepair.com、KsLoader.exe、KVCenter.kxp、 KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、 KVMonXP_1.kxp、kvol.exe、kvolself.exe、 KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、kvupload.exe、kvwsc.exe、 KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、 KWatchX.exe、loaddll.exe、logogo.exe、 MagicSet.exe、mcconsol.exe、mmqczj.exe、 mmsk.exe、msconfig.exe、Navapsvc.exe、 Navapw32.exe、NAVSetup.exe、niu.exe、 nod32.exe、nod32krn.exe、nod32kui.exe、 NPFMntor.exe、pagefile.exe、pagefile.pif、 PFW.exe、PFWLiveUpdate.exe、QHSET.exe、 QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、 QQSC.exe、Ras.exe、Rav.exe、RavMon.exe、 RavMonD.exe、RavStub.exe、RavTask.exe、 RegClean.exe、regedit.exe、regedit32.exe、 rfwcfg.exe、rfwmain.exe、rfwProxy.exe、 rfwsrv.exe、RsAgent.exe、Rsaupd.exe、 rstrui.exe、runiep.exe、safelive.exe、 scan32.exe、ScanU3.exe、SDGames.exe、 SelfUpdate.exe、servet.exe、shcfg32.exe、 SmartUp.exe、sos.exe、SREng.EXE、SREngPS.EXE、 symlcsvc.exe、SysSafe.exe、TNT.Exe、 TrojanDetector.exe、Trojanwall.exe、 TrojDie.kxp、TxoMoU.Exe、UFO.exe、UIHost.exe、 UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、 UmxFwHlp.exe、UmxPol.exe、upiea.exe、 UpLive.exe、USBCleaner.exe、vsstat.exe、 webscanx.exe、WoptiClean.exe、Wsyscheck.exe、 XDelBox.exe、XP.exe、zjb.exe、 zxsweep.exe、~.exe <2> 还原删除的注册表项 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\Hidden\\SHOWALL] 注册表值: "CheckedValue" 类型:DWORD 值: "1" [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Control\\SafeBoot\\Minimal \\{4D36E967-E325-11CE-BFC1-08002BE10318}] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Control\\SafeBoot\\Minimal \\{4D36E967-E325-11CE-BFC1-08002BE10318}] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Control\\SafeBoot\etwork \\{4D36E967-E325-11CE-BFC1-08002BE10318}] 注册表值: "@" 类型: REG_SZ 值: "DiskDrive" <3> 恢复修改的注册表项 [HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Explorer\\Advanced] 新建键值:DWORD:"ShowSuperHidden"="0" 原键值:DWORD:"ShowSuperHidden"="1" 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 描述: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden] 新建键值:字串:"Type"="checkbox2" 原键值:字串:"Type"="checkbox" [HKEY_LOCAL_MACHINE\\SYSTEM \\ControlSet001\\Services\\helpsvc] 新建键值:DWORD:"Start"="4" 原键值:DWORD:"Start"="2" [HKEY_LOCAL_MACHINE\\SYSTEM \\ControlSet001\\Services\\SharedAccess] 新建键值:DWORD:"Start"="4" 原键值:DWORD:"Start"="2" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。