4.1-4.15感染量上升最快的10大病毒分析及解决方案
[录入时间:2008-04-25]
4.1-4.15感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:关于清理专家反复报告发现某恶意软件的处理办法
论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。
目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。
以下是本周10大病毒列表:
1.Auto病毒群(auto.exe)
详细信息,参阅http://bbs.duba.net/thread-21902724-1-1.html
2.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅http://bbs.duba.net/thread-21896365-1-1.html
3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
http://bbs.duba.net/thread-21891440-1-1.html
4.troj.lyloadmr
感染日志类似于:
引用:
恶意软件Troj.LYLOADMR ,Dxdlg_Troj,PswMHXY(Troj)。用金山清理专家和windows清理助手都可以查出来,却总是删除不掉。
引用:
使用清理专家的文件粉碎器彻底删除以下文件:
c:\windows\system32\mxcdcsrv16_080327.dll
c:\windows\system32\lyloadqr.exe
c:\windows\system32\lyloadhr.exe
c:\windows\system32\lyloadmr.exe
c:\windows\system32\lyloadar.exe
c:\windows\system32\lyloador.exe
c:\windows\system32\lyleador.exe
c:\windows\system32\lyloadbr.exe
c:\windows\system32\dxdlg.exe
c:\windows\system32\drivers\bootdrv.sys
重启电脑后,再使用清理专家的修复功能,将残留加载项清理干净。
该病毒变种较多,有的变种修改了注册表的访问权限,需要手动恢复相应帐户的访问权限
regedit.exe 找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
在 run 上点 右键 权限!
出现的权限对话框上点 高级
出现的高级安全设置对话框上点 所有者 标签!
将所有者更改为 你的登录帐户(比如adminstrator) 钩选 替换字容器及对象的所有者 确定!
将everyone的权限设置为 完全控制!
然后就可以清理掉了!
毒霸06.12.22.10版本即可查杀的病毒
6.Win32.Troj.DropperT.cp.658432
病毒名称(中文):系统伤口下载器
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:658432
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个木马下载器程序。它会在中毒电脑上打开端口,然后从病毒作者指定的地址下载病毒。
1.程序运行后,生成文件
%Temp%\text.exe
2.注册表添加启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"nb" = "%system32%\text.exe"
3.运行时,病毒会下载并运行文件C:\14\flashget_2240_1.exe,尝试与其它系统的点对点网络客户端建立通信。为了能够下载
并运行文件它通过本地UDP 4000端口连接某个IP地址。
染毒日志类似于
引用:
win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys
威胁级别:★★☆☆☆
病毒类型:黑客工具
病毒长度:16800
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个Rootkit,它的主要功能是保护其他的病毒文件
一、病毒简介
这个Rootkit主要有两个功能:
1、绕过SSDT挂钩反复写注册表
2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除
二、功能分析 - 绕过SSDT挂钩反复写注册表
Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,
ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)
的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。
三、功能分析 - 占用文件
Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32
\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。
Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表
启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到
的两个病毒文件。
这是一个木马程序,查毒日志类似于
引用:
病毒 2005-12-16 01:44:23 C:\WINDOWS\system32\drivers\vchelp.sys Win32.Troj.Mnless.373248 清除成功
病毒 2005-12-16 01:44:21 C:\WINDOWS\system32\drivers\acpidisk.sys Win32.Troj.CinmusT.df.235140 清除成功
查毒日志类似于:
C:\WINDOWS\system32\IME\SC38.EXE\BINDFILE\SMSS.EXE,可能反复会发现
升级到07.8.20的版本即可查杀,又一个老病毒被下载器召唤的例子。
10.Win32.Hack.PcClient.cb.64000
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
06.10.23的版本即可查杀,同样是老木马被下载器召唤的实例。
针对流行病毒的解决方案:
本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(http://bbs.duba.net/thread-21893089-1-1.html)