delete-阿里云开发者社区

开发者社区> 余二五> 正文

delete

简介:
+关注继续查看
发现有Autorun.inf和runauto..文件夹
其Autorun.inf的文件内容
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

 
首先删除Autorun.inf 文件。
想删除 runauto.. 文件夹 不行,系统提示出错……
开始 运行 输入cmd到命令行窗口

进入U盘(以x盘代表)
cd x:
rd runauto..\      提示没发现
做个实验 md runauto..\ 成功, 这个文件夹在GUI环境中显示为 runauto. 注意后是一个点 不是两个!!
当然 rd runauto..\ 会成功,但会将后来创建的这个runauto..(1点)给删除,而不是我们想删除的runauto.. (两点)。
解决:
Unlocker 删除,提示已经成功,但实际上没有成功。用Unlocker 更改文件名,如bjt ,再删除bjt 文件夹即可。
如果打开“bjt”文件夹,则可以看到一个autorun的快捷DOS方式,其实那就是病毒,是可执行文件,前面的Autorun.inf就是指向这个东西。
查看卡巴斯基的监控信息,已删除: 木马程序 Backdoor.Win32.Hupigon.emv 文件: x:\213\autorun.pif
 
病毒主要特征:
1.结束一些杀毒软件和安全工具进程
2.IFEO映像劫持 cmd regedit msconfig等文件
3.通过硬盘双击启动(怪就怪在这点,而且作者很聪明)
 
病毒分析:
File: dllhost.exe
Size: 762368 bytes
File Version: 3.0.2.3
MD5: 1D8B98F417340D9B399A5F9F9944B2E3
SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883
CRC32: 0ACAB18C
 
1、运行后,生成如下文件:
C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
 
2、创建服务COMSystemApp,服务相关键值:
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00
 
00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00
 
00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18
 
00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00
 
00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00
 
00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "管理基于组件对象模型 (COM+) 的组件的配
 
置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00
 
03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
 
3、结束以下进程:
autoruns
autoruns.exe
procexp.exe
WoptiProcess.exe
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
McAfeeFire.exe
FireTray.exe
jpf.exe
ssgui.exe
outpost.exe
360tray.exe
FYFireWall.exe
runiep.exe
Ras.exe
cpf.exe
KAVPF.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe
KBVXP.kxp
KvMonXP.kxp
KVCenter.kxp
TrojDie.kxp
 
4、监控如下窗口,如果发现他们则将其关闭:
 
天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
ZoneAlarm Pro
 
5IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe C:\WINDOWS\setuprs1.PIF
 
6、连接218.16.138.64:83
 
7、下面就是比较“聪明”比较怪异的地方了:
在第一次运行样本的同时在每个分区根目录下面生成autorun.inf.tmp的文件和一个歧义文件名runauto..\的文件夹,这个文件夹是通过歧义文件名创立的,所以通过一般手段是删不掉的。这个文件夹有什么用呢?
 
而且奇怪的是怎么生成的是autorun.inf.tmp呢?这样怎么达到双击启动病毒的目的呢?原来病毒创建了这么一个注册表键值:
 
注册表群组: System Critical
对象:
    注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
    注册表值: PendingFileRenameOperations
    新的值:
       类型: REG_MULTI_SZ
       值:        
          \??\C:\autorun.inf.tmp
          \??\C:\autorun.inf
 
也就是说电脑重启以后会自动把autorun.inf.tmp重命名为autorun.inf
 
再看那个autorun.inf的内容吧:
 
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
 
这回明白了吧,那个runauto..\的文件夹中有一个autorun.pif的文件,双击启动的就是他。autorun.pif当然就是病毒文件了。原来runauto..\是为了保护病毒文件的。这回杀毒软件也没辙了。而且为隐人耳目,这个东西使得右键菜单中的出现了两个“打开”和一个“浏览”点击,第一个“打开”和“浏览”都会激活病毒。
 
那几个被映像劫持的文件也很隐人耳目,当我们在 运行中输入cmd回车的时候,首先会劫持到C:\WINDOWS\setuprs1.PIF,运行之,然后由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把他重命名为cmd.exe.exe,最后启动他。
 
如果我们打开的是注册表,那么同样打开的也是regedit.exe.exe而之中一切发生的变化我们会浑然不知。
 
解决办法:
1、重启电脑,进入安全模式。打开sreng:“启动项目”-“服务”-Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
 
[COM+ System Applications / COMSystemApp][Running/Auto Start]
   <C:\WINDOWS\dllhost.exe -netsvcs><>
 
2、双击我的电脑——工具——文件夹选项——查看,单击选取"显示隐藏文件或文件夹并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定。
 
3、用右键点击右键菜单最下面的 “打开”, 打开C盘,删除C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
 
4、利用autoruns.exe 恢复被映像劫持的文件(autoruns也要重命名,否则可能会被结束)。
 
5、接下来,我们来对付那个歧义文件名的文件夹。开始——运行——输入cmd(此时 已经恢复了IFEO,所以可以用了)。依次输入:
 rd /s c:\runauto..\
rd /s d:\runauto..\
del C:\autorun.inf
del d:\autorun.inf
 
.....
有几个分区输入几个。好了,大功告成。
 
总结一下,现在病毒可以说越来越恶劣,越来越“聪明”了,各位加强防范是关键啊!




本文转自 fsjoy1983 51CTO博客,原文链接:http://blog.51cto.com/fsjoy/72639,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
26793 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10088 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11631 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9161 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13891 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7365 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4506 0
+关注
20382
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载