基本介紹
- 中文名:win32病毒群
- 平台:Windows
- 類別:計算機病毒
- 危害方式:感染用戶機器上的執行檔
原理,木馬程式,解決辦法,防止再次感染,
原理
運行過程過感染用戶機器上的執行檔,造成用戶機器運行速度變慢,破壞用戶機器的執行檔,給用戶安全性構成危害。
病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。
1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:
%SystemRoot%\rundl132.exe
2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒資料夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:
_desktop.ini (檔案屬性:系統、隱藏)。
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts檔案。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後傳送訊息關閉該程式。
8、枚舉以下防毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、傳送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,
枚舉區域網路所有共享主機,並嘗試用弱口令連線\\IPC$、\admin$等共享目錄,連線成功後進行網路感染。
11、感染用戶機器上的exe檔案,但不感染以下資料夾中的檔案:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll檔案嘗試連線以下網站下載並運行相關程式:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt保存為:c:\1.txt
http://www.17**.com/gua/zt.exe保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:
木馬程式
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
如果有以上特徵,那么恭喜您,呵呵,您中了威金病毒!
解決辦法
如果在病毒沒有發作情況下防毒是可以完全搞定的。如果發作了也不要防毒了。直接克盤恢復吧。
一、找到註冊表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
刪除downloadwww主鍵
二、找到
[hkey_local_machine/software/microsoft/windows nt/currentversion/inifilemapping/system.ini/boot]
winlogo 項
把winlogo 項 後面的c:winntsws32.dll 刪掉
接下來把hkey_local_machine]software/microsoft/windows/currentversi 鍵中 /runonce/runonceex
兩個中其中有個是也是
c:winntsws32.dll
把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話後果自負)。
如果沒有以上鍵值,則直接跳過此步驟 。
在C糟winnt根目錄里找到logo1_.exe,vdll.dll和rundl132.exe(注意rundl----132.exe,後面一個是一,以前都讓他混過去了)刪除,註冊表中也要刪除rundl132.exe相關的內容。
三 結束進程
按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以藉助綠鷹的進程管理軟體處
理更方便。找到expl0rer.exe進程(注意第5個字母是數字0不是字母o),找到它後選中它並點擊“結束進程”
以結束掉(如果expl0rer.exe進程再次運行起來需要重做這一步)。
四http://db.kingsoft.com/download/3/246.shtml這個是金山的。
五 建立一個記事本添入以下內容
@echo off
echo 正在清除檔案,請稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
echo 清除完畢!
exit
盤符請自行更改!然後把*.txt後綴改成bat批處理檔案!然後執行!ok !
防止再次感染
運行 gpedit.msc 打開組策略
依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案 。
