开发者社区> 余二五> 正文

delete

简介:
+关注继续查看
发现有Autorun.inf和runauto..文件夹
其Autorun.inf的文件内容
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

 
首先删除Autorun.inf 文件。
想删除 runauto.. 文件夹 不行,系统提示出错……
开始 运行 输入cmd到命令行窗口

进入U盘(以x盘代表)
cd x:
rd runauto..\      提示没发现
做个实验 md runauto..\ 成功, 这个文件夹在GUI环境中显示为 runauto. 注意后是一个点 不是两个!!
当然 rd runauto..\ 会成功,但会将后来创建的这个runauto..(1点)给删除,而不是我们想删除的runauto.. (两点)。
解决:
Unlocker 删除,提示已经成功,但实际上没有成功。用Unlocker 更改文件名,如bjt ,再删除bjt 文件夹即可。
如果打开“bjt”文件夹,则可以看到一个autorun的快捷DOS方式,其实那就是病毒,是可执行文件,前面的Autorun.inf就是指向这个东西。
查看卡巴斯基的监控信息,已删除: 木马程序 Backdoor.Win32.Hupigon.emv 文件: x:\213\autorun.pif
 
病毒主要特征:
1.结束一些杀毒软件和安全工具进程
2.IFEO映像劫持 cmd regedit msconfig等文件
3.通过硬盘双击启动(怪就怪在这点,而且作者很聪明)
 
病毒分析:
File: dllhost.exe
Size: 762368 bytes
File Version: 3.0.2.3
MD5: 1D8B98F417340D9B399A5F9F9944B2E3
SHA1: 19E4F629D735AC04504510B3A2D6124E654BF883
CRC32: 0ACAB18C
 
1、运行后,生成如下文件:
C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
 
2、创建服务COMSystemApp,服务相关键值:
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00
 
00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00
 
00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18
 
00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00
 
00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00
 
00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ImagePath: "C:\WINDOWS\dllhost.exe -netsvcs"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\DisplayName: "COM+ System Applications"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\Description: "管理基于组件对象模型 (COM+) 的组件的配
 
置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动"
HKLM\SYSTEM\ControlSet001\Services\COMSystemApp\FailureActions: 00 00 00 00 00 00 00 00 00 00 00 00
 
03 00 00 00 53 00 65 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
 
3、结束以下进程:
autoruns
autoruns.exe
procexp.exe
WoptiProcess.exe
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
McAfeeFire.exe
FireTray.exe
jpf.exe
ssgui.exe
outpost.exe
360tray.exe
FYFireWall.exe
runiep.exe
Ras.exe
cpf.exe
KAVPF.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe
KBVXP.kxp
KvMonXP.kxp
KVCenter.kxp
TrojDie.kxp
 
4、监控如下窗口,如果发现他们则将其关闭:
 
天网防火墙个人版
Tapplication
天网防火墙企业版
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
ZoneAlarm Pro
 
5IFEO映像劫持cmd.exe msconfig.exe regedit.exe regedt32.exe C:\WINDOWS\setuprs1.PIF
 
6、连接218.16.138.64:83
 
7、下面就是比较“聪明”比较怪异的地方了:
在第一次运行样本的同时在每个分区根目录下面生成autorun.inf.tmp的文件和一个歧义文件名runauto..\的文件夹,这个文件夹是通过歧义文件名创立的,所以通过一般手段是删不掉的。这个文件夹有什么用呢?
 
而且奇怪的是怎么生成的是autorun.inf.tmp呢?这样怎么达到双击启动病毒的目的呢?原来病毒创建了这么一个注册表键值:
 
注册表群组: System Critical
对象:
    注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
    注册表值: PendingFileRenameOperations
    新的值:
       类型: REG_MULTI_SZ
       值:        
          \??\C:\autorun.inf.tmp
          \??\C:\autorun.inf
 
也就是说电脑重启以后会自动把autorun.inf.tmp重命名为autorun.inf
 
再看那个autorun.inf的内容吧:
 
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=打开(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=浏览(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
 
这回明白了吧,那个runauto..\的文件夹中有一个autorun.pif的文件,双击启动的就是他。autorun.pif当然就是病毒文件了。原来runauto..\是为了保护病毒文件的。这回杀毒软件也没辙了。而且为隐人耳目,这个东西使得右键菜单中的出现了两个“打开”和一个“浏览”点击,第一个“打开”和“浏览”都会激活病毒。
 
那几个被映像劫持的文件也很隐人耳目,当我们在 运行中输入cmd回车的时候,首先会劫持到C:\WINDOWS\setuprs1.PIF,运行之,然后由C:\WINDOWS\setuprs1.PIF马上复制一个cmd.exe出来并把他重命名为cmd.exe.exe,最后启动他。
 
如果我们打开的是注册表,那么同样打开的也是regedit.exe.exe而之中一切发生的变化我们会浑然不知。
 
解决办法:
1、重启电脑,进入安全模式。打开sreng:“启动项目”-“服务”-Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
 
[COM+ System Applications / COMSystemApp][Running/Auto Start]
   <C:\WINDOWS\dllhost.exe -netsvcs><>
 
2、双击我的电脑——工具——文件夹选项——查看,单击选取"显示隐藏文件或文件夹并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定。
 
3、用右键点击右键菜单最下面的 “打开”, 打开C盘,删除C:\WINDOWS\dllhost.exe
C:\WINDOWS\setuprs1.PIF
 
4、利用autoruns.exe 恢复被映像劫持的文件(autoruns也要重命名,否则可能会被结束)。
 
5、接下来,我们来对付那个歧义文件名的文件夹。开始——运行——输入cmd(此时 已经恢复了IFEO,所以可以用了)。依次输入:
 rd /s c:\runauto..\
rd /s d:\runauto..\
del C:\autorun.inf
del d:\autorun.inf
 
.....
有几个分区输入几个。好了,大功告成。
 
总结一下,现在病毒可以说越来越恶劣,越来越“聪明”了,各位加强防范是关键啊!




本文转自 fsjoy1983 51CTO博客,原文链接:http://blog.51cto.com/fsjoy/72639,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
面试题24解析-详谈DNS域名解析过程
题目:描述一下DNS域名解析的过程?
9 0
Google应该这样玩,你知道这些技巧吗?
网络让世界变成了“地球村”,拉近了世界各地人与人之间的距离;搜索引擎更是让我们在互联网上没有秘密可言,查找网页,查找信息,查找人,我们都离不开它。
11 0
Win 终端 putty & pscp & kitty 使用
前言 受制于 Xshell 的收费,寻思构建一套免费的 ssh 方案。 putty 双击即可直接使用 用它来远程管理 Linux 十分好用,其主要优点如下: ◆ 完全免费; ◆ 在 Windows 9x/NT/2000 下都能运行的都非常好; ◆ 支持协议广 用快捷方式实现自动登陆 首先创建 putty.exe 的快捷方式到桌面;然后运行 putty,输入 host name、port、saved session’s name,点击保存,假设 session 名为“qa server”,随后关闭窗口;最后右击 putty 快捷方式,属性,目标,加上如下参数 -load "qa server"
9 0
Win 上码农软件推荐
有便携和安装两种区分,能选择便携包尽量选择它。安装包类型是便携类软件的补充, 可以按需挑选。如果该软件能做到跨平台, 我会优先推荐.
7 0
Win 独享 WSL 并搭配 Oh My Zsh
Windows Subsystem for Linux(简称 WSL)是一个在 Windows 10/11 上能够运行原生 Linux 二进制可执行文件(ELF 格式)的兼容层。
8 0
Java Socket与TCP/IP协议栈
题目:Java Socket与TCP/IP协议栈的关系,为什么TCP连接需要三次握手与四次挥手?
6 0
闯祸了,生产环境执行了DDL操作《死磕MySQL系列 十四》(1)
闯祸了,生产环境执行了DDL操作《死磕MySQL系列 十四》
6 0
如何让脚本在任意地方可执行
如何让脚本在任意地方可执行
5 0
终结初学者对ElasticSearch、Kibana、Logstash安装的种种困难《玩转ElasticSearch 1》-1
终结初学者对ElasticSearch、Kibana、Logstash安装的种种困难《玩转ElasticSearch 1》
7 0
最简单的Markdown教程
Markdown是一种轻量级的标记语言;目标是实现“易读易写”。
16 0
+关注
20381
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载