星星电脑技术论坛's Archiver

vista 发表于 2007-8-24 20:50

定时关机病毒(Trojan.Win32.ShutDown)分析与清除

定时关机病毒(Trojan.Win32.ShutDown)分析与清除文章出处:网络博客
M Tm k!S_7fZ8g
a#LrD0g Trojan.Win32.ShutDown(关机)病毒:/B`\8b:rf

B@K5GR3A~/Q   警惕程度★★★,BF,@y&E?k

"opS/l/Z t   木马病毒,通过网络传播,[Lf.eFS5l5P0goJ

1l R p.G0M no G   依赖系统:WIN9X/NT/2000/XP。
!]fcm]
V {d f{:`-Fl/M   这是采用VC语言编写的木马病毒,运行后复制多个文件到系统中,修改注册表实现开机自启动。病毒会搜索窗口,“进程查看器”、“注册表编辑器”、“Windows 任务管理器”等程序不能正常运行。开机1200秒(20分钟)后,病毒试图强行关闭用户电脑,给用户造成很大困扰。 8H'yP^)Mm M}#Vb,I
     l-l*k J oZ1K
  病毒分析: '\v\{3K%D
     /t _9` K8C6z7hv;e
  一、将自己复制为以下几个文件:
M&`2{V c?!c KI;f      {']BC6Yb4R
  C:\WINDOWS\system32\winvor.exe
;H [D]3p"v   C:\WINDOWS\view.exe
o6{k.[)[.t   C:\system32.exe
^H G%bq3SA(?   C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif
OSQ+f%pW9KQT      9DW \U |{"`
  二、修改注册表以下键以达到其自启动的目的: $Ilmj2KW
     ,O[ AK9g
  1.
6u sG)`@h      HKEY_LOCAL_MACHINE\Software\Microsoft O5Xk E3VC
     \Windows\Currentversion\Run
9e3pj U'CSrAd      增加数据项:"RUNEXE"
2TK T S5\D      数据值:"%WINDIR%\VIEW.EXE" 7I"k(f'N9uf-{-v
     
1c0GK2MdM      2.
V IqmI`7]      HKEY_CLASSES_ROOT\txtfile\shell A)k | ^O3qz
     \open\command B Rbk_$vq;R
     (默认) p5k:M"y A:@ A KJ
     数据值:"C:\WINDOWS\system32\winvor.exe" K:jE*K-Ab*z;ov0S a
     O4]$T[3rSF
  三、查看当前系统是否存在以下窗口,如果有则将它们结束:
SY n#^4} w      3Z4V6h]3Z
     "进程查看器"、 NcZe.d{+F/T4D
     "注册表编辑器"、
^ p0k },B9U8S+D      "Windows 任务管理器" 0bZ%Kr Em"g
     3it4L;P;H(}6G
  四、查看当前系统是否存在以下进程,如果有则将它们结束: !a%z)[ wM/s
     
dUA-Q'?      "taskmgr.exe"、
4R$bR(d/m d8M      "regedit.exe"、 /p&`jd!\
     "cmd.exe" 7[4y)sfTy
     
dk3O$T.^"X'[l   五、在C盘根目录下生成名为"autorun.inf"的文件,该文件会导致用户在访问C盘的同时将"C:\system32.exe"(病毒文件)运行。
O}Eu [E7t      
g!iGd+a/WN   六、创建一个线程,该线程执行后将休眠1200秒然后关闭本地计算机。#G ['`cc ?&K?2V

K-v e7zH4[:B   手动解决方法:(杀毒软件基本在安全模式下可以查杀)
[$M YY:o)m:a Rt~FD;m
  ---------删除以下病毒文件:(下个UNLOCKER 软件(可到down.45it.com下载) 删除不了的文件 解锁后-删除)
,eN5]Jx,DB5~7S(P Y!z   
7xV,N`,]-`;Ly"B C:\WINDOWS\system32\winvor.exe  
z~1V)M]N w C:\WINDOWS\view.exe  L&hc5`9bsX2PS
C:\system32.exe  
~| vOE`.yw1_ C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif  zgk+@E/cO,n n
  
*l4xaD E^h   ---------修复注册表 开始--运行--输入REGEDIT ,打开注册表依次进行以下操作:FV/?P%o lZ
  V4u\5Z Dw"V]
1.  C5kv.w)Y#[
HKEY_LOCAL_MACHINE\Software\Microsoft  
0^NLn J,?,YiC%M \Windows\Currentversion\Run  ;R a2]'O f!q
增加数据项:"RUNEXE"   ajM+@&M
数据值:"%WINDIR%\VIEW.EXE"  
ig IH$_oY;f   2u s.dvU;xp u"} ~
2.  
;|/]~6\&DB%N HKEY_CLASSES_ROOT\txtfile\shell  /k_-wMRF2z}8r
\open\command  
n3~"A aS-\W ?0b(e (默认)  
Ek ml9x)w+Z 数据值:"C:\WINDOWS\system32\winvor.exe"
mlM.lHP   ------运行USBCLEANER软件 帮你清除每个盘下面的autorun.inf文件
;A$BNH ?v   ------进安全模式下杀毒软件全面扫描 用SRENG(可到down.45it.com下载)的系统修复修复系统

页: [1]
手机号码所在地查询:
Google
IP地址:

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.