NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: dll25.tmp ,GRIL.PIF等病毒清除解决方案

dll25.tmp ,GRIL.PIF等病毒清除解决方案

该病毒是使用“VC”编写的网络蠕虫,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“29,696 字节”,病毒扩展名为“exe”,主要通过“文件**”、“下载器下载”、“网页**马”等方式传播,病毒主要目的为下载大量病毒,并运行。  
用户中毒后,会出现安全软件无故关闭,网络运行缓慢,安全模式无法进入,windows系统无故报错等现象
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件、下载器下载


病毒分析
(1)设置自身属性为隐藏和系统属性,查看同目录下是否存在AUTORUN.INF,如果存在,打开C盘,执行AUTORUN.INF,设置计算机下次启动删除自身
(2)运行notepad.exe进程,并关闭notepad.exe进程,如果运行失败,结束自身进程
(3)尝试 删除AVP服务,创建动态库文件rsv.dll,遍利进程,如果存在CCenter.exe进程,创建bsv.VBS运行动态库,不存在直接加载,释放驱动文件AsyncMac.sys,加载驱动恢复SSDT,删除驱动,删除动态库
(4)创建动态库文件dll25.tmp并加载,结束大部分安全软件进程,停止和删除安全软件相关服务,删除安全软件文件,下载病毒并运行,创建映像劫持,修改注册表,使显示隐藏文件失效,删除安全模式相关注册表,删除安全软件注册表启动项目
(5)创建线程,查看是否存在 %SystemRoot%\system32\dllcache\linkinfo.dll,如果存在,结束线程,如果不存在复制%SystemRoot%\system32\linkinfo.dll为%SystemRoot%\system32\dllcache\linkinfo.dll,释放驱动文件smvss.sys,并创建服务启动驱动,修改%SystemRoot%\system32\linkinfo.dll文件,删除驱动文件
(6)遍历进程,如果发现360tray.exe进程,释放驱动文件WOHSLS.fon,创建服务启动驱动,结束360相关进程,通过读取注册表,获取360安装目录,在安装目录创建\safemon\usp10.dll目录,重命名safemon目录为monsafe
(7)释放驱动smyns.sys,创建服务启动驱动,修改aaaamon.dll文件
(8)遍历磁盘写AUTORUN.INF和GRIL.PIF文件      
病毒创建文件:
%SystemDriver%\rsv.dll
%SystemRoot%\Fonts\bsv.VBS
%SystemRoot%\system32\drivers\AsyncMac.sys
%Temp\dll25.tmp
%SystemRoot%\fonts\smvss.sys
%SystemRoot%\Fonts\WOHSLS.fon
X:\GRIL.PIF
X:\AUTORUN.INF(X:为任意盘符)      
病毒修改文件:    
%SystemRoot%\system32\linkinfo.dll
%SystemRoot%\system32\aaaamon.dll
病毒删除文件: 
%SystemDriver%\rsv.dll 
%SystemRoot%\Fonts\bsv.VBS
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\fonts\smvss.sys
%SystemRoot%\Fonts\WOHSLS.fon

病毒创建目录:    
[360安全卫士安装目录]\monsafe\usp10.dll    
病毒创建注册表:  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WOHSLS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\    
病毒修改注册表:  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\    
病毒删除注册表: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:360Safetray
360Safebox
KavStart
vptray
ccApp
RavTray
egui
essact      
病毒访问网络:    
http://c.w**9.com/tt.txt
http://c.w**9.com/dd/33.exe
http://c.w**9.com/dd/4.exe
http://c.w**9.com/dd/6.exe
http://c.w**9.com/dd/99.exe
http://c.w**9.com/dd/10.exe

解决方案
1、用相同版本文件替换 
%SystemRoot%\system32\linkinfo.dll和ystemRoot%\system32\aaaamon.dll,修复安全模式相关注册表
2、手动删除以下文件: 
Temp\dll25.tmp
X:\GRIL.PIF
X:\AUTORUN.INF(X:为任意盘符)
3、删除以下目录
[360安全卫士安装目录]\monsafe\usp10.dll
4、手动删除以下注册表值:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WOHSLS
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
5、手动修改以下注册表:   
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  
值:CheckedValue  
数据:1  
变量声明:  
%SystemDriver%       系统所在分区,通常为“C:\”  
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”  
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”  
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”  
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited