“VB破坏者变种N”病毒技术细节

“VB破坏者变种N”病毒技术细节 “VB破坏者变种N”病毒技术细节 危险等级:??? 病毒名称:Harm.Win32.VB.n 截获时间:2007-12-23 入库版本:20.23.62 类型:病毒 感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000 威胁情况: 传播级别:中 清除难度:中 破坏力:中 破坏手段:破坏应用程序、感染脚本文件、下载病毒程序 病毒分析:病毒运行后首先把自己复制到System32文件夹下，添加以下注册值实现自启动: HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run Winstary = C:\WINDOWS\system32\SDGames.exe HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows load = C:\WINDOWS\system32\SDGames.exe run = C:\WINDOWS\system32\SDGames.exe 执行以下CMD命令实现关闭防火墙等功能 sc config winmgmt start= AUTO & net start winmgmt & quit sc config lanmanserver start= AUTO & net start lanmanserver & quit sc config Alg Start= disabled & net stop Alg sc config sharedaccess Start= disabled & net stop sharedaccess 释放脚本文件Taskeep.vbs,该脚本每隔2秒查找进程中是否存在病毒进程,如果没有则 重新运行病毒程序.查找网络共享磁盘，如果找到把自己复制到该文件夹命名为xcopy.exe 添autorun.inf文件使得用户打开磁盘时同时运行病毒。释放netshare.cmd文件，把用户所 有磁盘都改为共享磁盘。遍历本机的脚本文件和可执行文件,对于脚本文件，在其后面添加以 下代码src=";,使得用户运行脚本时打开该网页;对于可执行 文件，病毒会把自己覆盖到正常文件，使得正常可执行文件被破坏。病毒会把自己复制到本 地所有磁盘中，添autorun.inf文件使得用户打开磁盘时同时运行病毒。从下载病毒程序。 把系统时间的年份改为2030年,使得卡巴斯基杀毒软件失效. 然后修改以下注册表键值实现禁用注册表编辑器、任务管理器等功能 HKEY_CLASSES_ROOT\txtfile\shell\open\ Command = C:\WINDOWS\system32\SDGames.exe HKEY_CLASSES_ROOT\regfile\shell\open\ Command = C:\WINDOWS\system32\SDGames.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main start page = wangma HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main start page = HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main default_page_url = wangma HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main default_page_url = wangma HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system disabletaskmgr = 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system disableregistrytools = 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer nosettaskbar = 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt = 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder\Hidden\SHOWALL CheckedValue = 0 然后修改以下注册表键值实现镜像劫持,使得用户运行以下程序时都会运行病毒程序: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\360rpt.exe\ Debugger = C:\WINDOWS\system32\SDGames.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Trojanwall.exe\ Debugger = C:\WINDOWS\system32\SDGames.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KvReport.kxp\ Debugger = C:\WINDOWS\system32\SDGames.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\QQ.exe\ Debugger = C:\WINDOWS\system32\SDGames.exe 最后释放Avpser.cmd文件,该程序遍历进程查找进程中是否存在以下反病毒软件进程, 如果存在则结束该进程: RavMonD.exe RavStub.exe avp.exe 360safe.exe 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天 至少升级三次。 2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。 3 不浏览不良网站，不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。 清除办法: 瑞星杀毒软件清除办法: 安装瑞星杀毒软件，升级到20.23.62版以上，对电脑进行全盘扫描，按照软件提示进行 操作，即可彻底查杀。