【CISRT2007024】可通过U盘传播、调日期到1980年的随机字母文件名病毒解决方案
档案编号:CISRT2007024
病毒名称:Worm.Win32.Agent.t(Kaspersky)
病毒别名:Worm.Troj.Agent.t.51200(毒霸)
Worm.Skla.a(瑞星)
病毒大小:51,200 字节
加壳方式:PE_Patch.PECompact PecBundle PECompact
样本MD5:31be55fe725959235f6f031834640a06
样本SHA1:69b6a642c89e3f5c6d4e76328aca4b6a5266661a
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过U盘移动硬盘等移动存储设备传播
技术分析
==========
这个病毒会在每个分区下释放病毒副本,文件名随机,通过autorun.inf利用系统“
自动播放”功能运行,此外,病毒还会将计算机系统时间年份调到1980年,这样
做可以使得某些反病毒软件不能正常工作。
病毒运行后向系统目录复制副本:
%Windows%\{随机字母文件名}.exe
向各分区复制副本:
X:\{随机字母文件名}.exe
X:\Autorun.inf
更多完整内容请访问:http://www.cisrt.org/bbs/viewthread.php?tid=715
清除步骤
==========
1. 结束病毒进程:
%Windows%\{随机字母文件名}.exe
2. 删除病毒文件:
%Windows%\{随机字母文件名}.exe
3. 通过分区右键菜单的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\{随机字母文件名}.exe
X:\Autorun.inf
4. 编辑注册表,删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon]
"Userinit"="%System%\userinit.exe,"
Windows XP/2003例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,"
Windows 2000例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon]
"Userinit"="C:\WINNT\System32\userinit.exe,"
5. 编辑修改注册表“自动播放”设置,建议设置如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
6. 编辑注册表恢复“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 调整系统时间到当前正常年份(或合适年份)
发布时间:2007-01-31 11:55
更新时间:2007-01-31 16:34原文地址:http://www.cisrt.org
/bbs/viewthread.php?tid=715
===============================================
by mopery大虾。 3ks...
http://hi.baidu.com/mopery/blog/item/5b599f10aa349801203f2e
3a.html
【注意 本文中的 * 不是通配符的 * 切记切记。 by 崔衍渠】
又是个U盘病毒..文件名随机..
具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf
X=C D E F H .... *=大小写字母随机命名
修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm
Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"
listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步..
内容一样..
系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..
连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
处理方法:(安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe 【注意 此处是删除病毒生成的该文件,不是指所有
的EXE文件!!切记切记。by 崔衍渠】
X:\*.EXE 【注意 此处是删除病毒生成的该文件,不是指所有的EXE文件
!!切记切记。by 崔衍渠】
X:\Autorun.inf
修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为
C:\WINNT\system32\userinit.exe,
删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
over...
本文出自 51CTO.COM技术博客 | 
修改时间为1980年的病毒
starger
博客统计信息
热门文章
最新评论
友情链接
