U盘病毒Discovery.exe的分析和手动清除
U盘病毒Discovery.exe的分析和手动清除+ X- m# T5 k, { T( x
7 [+ e: @2 P; t- H, Z v3 `
这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。: V% o" ` g" }( j$ n
" @# o4 X: W' o& oQuote:$ L; P s3 O- E( V$ [
File: Discovery.exe: U& z5 [( h, k Q: S* M* i1 u
Size: 74240 bytes2 W2 l+ \6 w. Y f4 \
Modified: 2008年2月2日, 0:03:34 Z# ]4 X1 A$ i
MD5: 2DA55F2A36E852EE6FC96D34DD520979" n1 I2 h" }- t. B; K
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C13 o0 N- ~4 F# Z: u8 G
CRC32: E20E292D) {9 i/ u; Y2 t! S+ X0 o
6 k) _) D% e2 A5 m H
" e$ U+ {) ^0 o' e# Q! D( K6 a1.病毒运行后,衍生如下副本及文件:
* ]. L( J O" m& N( a0 P( xQuote:
7 g* R* ^" q; {5 Y5 L a& ?%systemroot%\system32\Discovery.exe
2 f# a2 ~! a/ E% `
Y6 |- A2 e5 Q* I+ d- Z各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。" |3 t8 V8 L: w3 P4 ~# S `
' Z+ ^9 g P9 P% w( b! @7 n6 {并每隔一段时间检测它们是否存在,如不存在,则立即回写
, e6 V, h: Y2 S) c3 }( ?2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出
: o0 \, n, o$ D0 X# z 9 U# _1 ?0 `$ W4 U
3.创建注册表项目+ R o! k, t5 ]0 t7 A; t
Quote:
3 h- n: j6 W% M9 ^* uHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe
$ [3 T4 Z4 Q, ^
* L: o) l' b! P0 ?0 ^2 \3 a达到开机启动自身的目的
% c5 [" t6 {3 z4 @5 w# ^3 a' v
- s& V2 U! P5 |) H4.删除如下键破坏安全模式
9 L- _' E- H& }" ^; X, N; }8 b! FQuote:
9 G: V U+ O& |SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ & b1 }5 X& c- _4 A& k1 E0 P
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\( e3 B0 e1 C0 |6 f
8 ~* J$ o0 a3 w; ~: h- T6 `3 [
% O* x9 q$ W. S$ z5.破坏显示隐藏文件
' B; f2 ^( m& |: U1 xQuote:# U7 n+ _6 ^" a) d. \4 g1 k/ d+ D
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000) a: _& I/ }) K: x; P" o5 y
: h* U& ?+ i! a! h 6.试图结束很多安全软件进程
0 G8 S7 j5 Y/ }/ \5 R6 ]Quote:
1 |. I" Y6 C' A0 S比如:360rpt.exe3 ]: Z( A; h( I9 ~
360Safe.exe
: r, m' F4 w2 h& U3 C2 W8 {- ]* S360tray.exe9 O' a- i, O# @' S" O/ u
srengps.exe: C* g. P; F# \# B3 T% ^7 `/ x: M, r3 A' E
Ravmond.exe" r. w5 \0 ~( h' }% p9 \7 @
rfwsrv.exe& ?1 O: t6 q% |; o* |
rfwmain.exe
$ x8 d$ v5 P. K `7 w....0 a1 X; ?# O% _; D4 C7 ^5 E
% @; i! [9 B" }3 L9 i解决办法) ~ [* }! e0 }$ q
! C6 C* M7 v v5 C0 j ?
, o5 G2 c- H# e9 N% R% g! C( k$ \1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
* n" I; G& f0 t: l& c4 `8 Z, X点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定
! W, F" @% J9 ^+ Q v
8 ^# _4 {# {* I切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程
; j, m7 w9 U c! E
5 Y8 e: y$ P% }+ r% T点击左下角的文件按钮
* A4 h7 A0 x2 E3 K7 n进入文件列表6 w" n+ l/ L. D/ C n% C. C
删除如下文件%systemroot%\system32\Discovery.exe; D1 ]; q \. P9 w
以及各个分区下面的Discovery.exe和autorun.inf(务必)
6 c; W6 u' C# K* \* c3 t( J / c% ]6 c5 h4 C2 |8 |
2.解压sreng 把srengps.exe改名为2.com 运行( U! I9 i: `) t5 N# o
启动项目 注册表 删除如下项目
[0 n5 C5 H8 P# s4 W[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]% f8 G x# f5 P; K4 d- @% ~
<%systemroot%\system32\Discovery.exe> []
4 `& n* f2 } ^# \1 K6 c 7 S# ~ D- h2 F" m4 S: e
并删除所有红色的IFEO项目
* {& r5 Y6 e& a' ?" i3 w9 e& n; _
2 X. v2 Q% O0 e系统修复-Windows Shell/IE 全选 点击修复按钮! t" f# y2 G7 H3 |! [3 x
高级修复-修复安全模式
1 M' Y; Q/ v- Y' s $ f3 Q5 p6 w& k* y9 }
3.使用杀毒软件或者手动方法查杀其他下载的病毒或木马
