针对卡巴,瑞星的servet.exe,AutoRun.inf下载者(Trojan-Downloader.Win32.Baser.w )的分析和清除
2007-10-02 15:42
351 查看
作者:Westbeck
最近一段时间,下载器类的病毒再次流行,只要中了一个,就会下载十几个病毒。下载的病毒盗号的盗号,感染的感染,耍流氓的耍流氓,还有专门对付杀软的...这样会给用户的清除带来很大的困难,给用户造成很大的损失。下文便对一个下载类的病毒做简单分析。
病毒名称:Trojan-Downloader.Win32.Baser.w (Kaspersky)
病毒大小:18944 bytes
加壳方式:UPX
样本MD5:7be33ec6f747a839fa85970a36212989
样本SHA1:6ac9bea78fa7514b38f54adc479373a9c17d85f5
编写语言:Borland Delphi 6.0 - 7.0
传播方式:下载,网络
病毒描述:
该病毒是下载类的病毒,病毒运行后复制自身到%System32%文件下,注册为系统服务,修改注册表“自动播放”键值,后台调用IE连接到指定网址下载其它病毒。病毒还会尝试检测用户是否装了卡巴,如有则修改系统时间,尝试绕过瑞星与卡卡助手的拦截。最后释放批处理删除自身。
行为分析:
1,病毒运行后,复制自身到:%System32%servet.exe
2,病毒会在各分区根目录复制副本,创建autorun.inf:
X:\Autorun.inf
X:\servet.exe
AUTORUN.INF内容:
[AutoRun]
open=servet.exe
shellexecute=servet.exe
shell\Auto\command=servet.exe
3,病毒会注册为系统服务:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
显示名:WindowsDo/Telephots google
描述:为即插即用设备提供支持
可执行文件的路径:%System32%servet.exe
4,修改注册表NoDriveTypeAutoRun键值,以利用自动播放功能传播病毒
5,病毒会访问%System32%drivers目录,查找klif.sys驱动,若有,则运行cmd命令,修改系统时间为1981-01-12后再把时间改回来让卡巴挂掉
6,病毒还会查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。以此绕过瑞星与卡卡助手的拦截。
7,病毒会调用IE,下载如下病毒并运行:
原文是一些网址。。但是为了安全起见还是不列出来了,以免不小心下载。。。。(尤其是打开快车或者迅雷的时候自动下载)如果需要查看。。可以查看原文。。。
其中13,19下载不了,除了system22.exe是威金,会感染全盘exe文件外,其余都是盗号类的病毒。
手动清除方法:
由于下载的其中一个病毒是感染类的病毒,所以这里不给出下载的病毒的手动清除方法,建议广大网友将杀软升级到最新的病毒库,全盘进行查杀。
1,断网
2,调出任务管理器,结束病毒调用的IE进程
3,删除%System32%servet.exe
4,利用“右键--打开”进入各个驱动器根目录下,删除:servet.exe和Autorun.inf文件
5,删除以下注册表键值:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
6,建议禁用系统自动播放功能
原文地址:http://secure.itdigger.com/2007/10/02/143907265.htm
最近一段时间,下载器类的病毒再次流行,只要中了一个,就会下载十几个病毒。下载的病毒盗号的盗号,感染的感染,耍流氓的耍流氓,还有专门对付杀软的...这样会给用户的清除带来很大的困难,给用户造成很大的损失。下文便对一个下载类的病毒做简单分析。
病毒名称:Trojan-Downloader.Win32.Baser.w (Kaspersky)
病毒大小:18944 bytes
加壳方式:UPX
样本MD5:7be33ec6f747a839fa85970a36212989
样本SHA1:6ac9bea78fa7514b38f54adc479373a9c17d85f5
编写语言:Borland Delphi 6.0 - 7.0
传播方式:下载,网络
病毒描述:
该病毒是下载类的病毒,病毒运行后复制自身到%System32%文件下,注册为系统服务,修改注册表“自动播放”键值,后台调用IE连接到指定网址下载其它病毒。病毒还会尝试检测用户是否装了卡巴,如有则修改系统时间,尝试绕过瑞星与卡卡助手的拦截。最后释放批处理删除自身。
行为分析:
1,病毒运行后,复制自身到:%System32%servet.exe
2,病毒会在各分区根目录复制副本,创建autorun.inf:
X:\Autorun.inf
X:\servet.exe
AUTORUN.INF内容:
[AutoRun]
open=servet.exe
shellexecute=servet.exe
shell\Auto\command=servet.exe
3,病毒会注册为系统服务:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
显示名:WindowsDo/Telephots google
描述:为即插即用设备提供支持
可执行文件的路径:%System32%servet.exe
4,修改注册表NoDriveTypeAutoRun键值,以利用自动播放功能传播病毒
5,病毒会访问%System32%drivers目录,查找klif.sys驱动,若有,则运行cmd命令,修改系统时间为1981-01-12后再把时间改回来让卡巴挂掉
6,病毒还会查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。以此绕过瑞星与卡卡助手的拦截。
7,病毒会调用IE,下载如下病毒并运行:
原文是一些网址。。但是为了安全起见还是不列出来了,以免不小心下载。。。。(尤其是打开快车或者迅雷的时候自动下载)如果需要查看。。可以查看原文。。。
其中13,19下载不了,除了system22.exe是威金,会感染全盘exe文件外,其余都是盗号类的病毒。
手动清除方法:
由于下载的其中一个病毒是感染类的病毒,所以这里不给出下载的病毒的手动清除方法,建议广大网友将杀软升级到最新的病毒库,全盘进行查杀。
1,断网
2,调出任务管理器,结束病毒调用的IE进程
3,删除%System32%servet.exe
4,利用“右键--打开”进入各个驱动器根目录下,删除:servet.exe和Autorun.inf文件
5,删除以下注册表键值:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
6,建议禁用系统自动播放功能
原文地址:http://secure.itdigger.com/2007/10/02/143907265.htm
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- autorun.inf和sbl.exe之U盘病毒的清除方法
- 遭遇Trojan.DL.Multi.wfg(sss.exe、SCVHOST.EXE、autorun.inf)等
- ymfqplr.exe,autorun.inf,oduxyym.exe,veckdld.exe清除办法
- autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
- 使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
- 修改系统时间并感染exe成为番茄花园的病毒的处理(提供专杀)rising.eve autorun.inf
- 随机6位数_xeex.exe下载者的手动清除方法
- auto.exe和autorun.inf查杀方法
- 清除servet.exe
- fun.xls.exe病毒分析、查杀及批处理清除
- Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll,qq.dll 病毒分析&清除
- Windows-详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒
- autorun.inf+无法显示隐藏文件+病毒的清除方法
- 清除servet.exe 推荐
- 显示隐藏文件的方法,移动硬盘里的autorun.inf文件夹如何删除,svchost.exe应用程序错误 0x58fc16e2,4。未成功启动Cygwin
- U盘病毒和Autorun.inf文件分析
- 使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等3
- SysAnti.exe和autorun.inf病毒的查杀
- Trojan-Downloader.HTML.IFrame.dm 卡巴报病毒清除办法