发现有Autorun.inf和runauto..文件夹
其Autorun.inf的文件内容
其Autorun.inf的文件内容
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
首先删除Autorun.inf 文件。
想删除 runauto.. 文件夹 不行,系统提示出错……
开始 运行 输入cmd到命令行窗口
进入U盘(以x盘代表)
进入U盘(以x盘代表)
cd x:
rd runauto..\ 提示没发现
做个实验 md runauto..\ 成功, 这个文件夹在GUI环境中显示为 runauto. 注意后是一个点 不是两个!!
做个实验 md runauto..\ 成功, 这个文件夹在GUI环境中显示为 runauto. 注意后是一个点 不是两个!!
当然 rd runauto..\ 会成功,但会将后来创建的这个runauto..(1点)给删除,而不是我们想删除的runauto.. (两点)。
解决:
Unlocker 删除,提示已经成功,但实际上没有成功。用Unlocker 更改文件名,如bjt ,再删除bjt 文件夹即可。
如果打开“bjt”文件夹,则可以看到一个autorun的快捷DOS方式,其实那就是病毒,是可执行文件,前面的Autorun.inf就是指向这个东西。
查看卡巴斯基的监控信息,已删除: 木马程序 Backdoor.Win32.Hupigon.emv 文件: x:\213\autorun.pif
病毒主要特征:
1.
结束一些杀毒软件和安全工具进程
2.IFEO
映像劫持 cmd regedit msconfig等文件
3.
通过硬盘双击启动(怪就怪在这点,而且作者很聪明)
病毒分析:
File: dllhost.exe
Size: 762368 bytes
File Version: 3.0.2.3
MD5: 1D8B98F417340D9B399A5F9F9944B2E3
SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883
CRC32: 0ACAB18C
1
、运行后,生成如下文件:
C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
2
、创建服务COMSystemApp,服务相关键值:
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00
00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00
00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18
00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00
00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00
00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "
管理基于组件对象模型 (COM+) 的组件的配
置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00
03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
3
、结束以下进程:
autoruns
autoruns.exe
procexp.exe
WoptiProcess.exe
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
McAfeeFire.exe
FireTray.exe
jpf.exe
ssgui.exe
outpost.exe
360tray.exe
FYFireWall.exe
runiep.exe
Ras.exe
cpf.exe
KAVPF.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe
KBVXP.kxp
KvMonXP.kxp
KVCenter.kxp
TrojDie.kxp
4
、监控如下窗口,如果发现他们则将其关闭:
天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
ZoneAlarm Pro
5
、IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe 到C:\WINDOWS\setuprs1.PIF
6
、连接218.16.138.64:83
7
、下面就是比较“聪明”比较怪异的地方了:
在第一次运行样本的同时在每个分区根目录下面生成autorun.inf.tmp的文件和一个歧义文件名runauto..\的文件夹,这个文件夹是通过歧义文件名创立的,所以通过一般手段是删不掉的。这个文件夹有什么用呢?
而且奇怪的是怎么生成的是autorun.inf.tmp呢?这样怎么达到双击启动病毒的目的呢?原来病毒创建了这么一个注册表键值:
注册表群组: System Critical
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
注册表值: PendingFileRenameOperations
新的值:
类型: REG_MULTI_SZ
值:
\??\C:\autorun.inf.tmp
\??\C:\autorun.inf
也就是说电脑重启以后会自动把autorun.inf.tmp重命名为autorun.inf。
再看那个autorun.inf的内容吧:
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=
打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=
浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
这回明白了吧,那个runauto..\的文件夹中有一个autorun.pif的文件,双击启动的就是他。autorun.pif当然就是病毒文件了。原来runauto..\是为了保护病毒文件的。这回杀毒软件也没辙了。而且为隐人耳目,这个东西使得右键菜单中的出现了两个“打开”和一个“浏览”点击,第一个“打开”和“浏览”都会激活病毒。
那几个被映像劫持的文件也很隐人耳目,当我们在 运行中输入cmd回车的时候,首先会劫持到C:\WINDOWS\setuprs1.PIF,运行之,然后由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把他重命名为cmd.exe.exe,最后启动他。
如果我们打开的是注册表,那么同样打开的也是regedit.exe.exe而之中一切发生的变化我们会浑然不知。
解决办法:
1
、重启电脑,进入安全模式。打开sreng:“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[COM+ System Applications / COMSystemApp][Running/Auto Start]
<C:\WINDOWS\dllhost.exe -netsvcs><>
2
、双击我的电脑——工具——文件夹选项——查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定。
3
、用右键点击右键菜单最下面的 “打开”, 打开C盘,删除C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
4
、利用autoruns.exe 恢复被映像劫持的文件(autoruns也要重命名,否则可能会被结束)。
5
、接下来,我们来对付那个歧义文件名的文件夹。开始——运行——输入cmd(此时 已经恢复了IFEO,所以可以用了)。依次输入:
rd /s c:\runauto..\
rd /s d:\runauto..\
del
C:\autorun.inf
del
d:\autorun.inf
.....
有几个分区输入几个。好了,大功告成。
总结一下,现在病毒可以说越来越恶劣,越来越“聪明”了,各位加强防范是关键啊!
本文转自 fsjoy1983 51CTO博客,原文链接:http://blog.51cto.com/fsjoy/72639,如需转载请自行联系原作者
