Worm.VcingT.w.102400

2008-08-14 23:03:43  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

 

　　病毒名稱(中文):

　　磁碟機變種102400

　　病毒別名:

　　

　　

　　威脅級別:

　　★★☆☆☆

　　病毒類型:

　　木馬程序

　　病毒長度:

　　36864

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個AUTORUN病毒,會關閉一些安全工具和殺毒軟件並阻止其運行運行,並會不斷檢測窗口來關閉一些殺毒軟件及安全輔助工具,破壞安全模式,刪除一些殺毒軟件和實時監控的服務,遠程注入到其它進程來啓動被結束進程的病毒,反複寫注冊表來破壞系統安全模式,病毒會在每個分區下釋放AUTORUN.INF來達到自運行.

　　一、病毒通過修改系統默認加載的DLL列表項來實現DLL注入,並在注入後設置全局鈎子.

　　通過遠程進程注入,並根據以下要害字關閉殺毒軟件和病毒診斷等工具：

　　360safe

　　360安全

　　ieframe

　　cabinetwclass

　　mozillauiwindowclass

　　metapad

　　dr.web

　　avg

　　木

　　tapplication

　　AfxControlBar42s

　　360safe

　　360anti

　　afx:

　　金山

　　thunderrt6main

　　木

　　antivir

　　費爾

　　微點

　　kv

　　monitor

　　診

　　具

　　SREng介紹

　　升級

　　thunderrt6formdc

　　ThunderRT6Timer

　　ewido

　　escan

　　mcagent

　　瑞

　　防

　　升

　　bitdefender

　　facelesswndproc

　　狙劍

　　防

　　雲

　　牆

　　firewall

　　eqsyss

　　eset

　　arp

　　掃描

　　病毒枚舉進程名,通過搜索以下要害字來關閉進程:

　　rav

　　avp

　　twister

　　kv

　　watch

　　kissvc

　　scan

　　guard

　　找到帶有要害字的窗口後，就往目標窗口發送大量的垃圾消息，是其無法處理而進入假死的狀態，當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。

　　病毒關閉殺毒軟件的方法沒有什麽創新,但要害字變的更短，使一些名字相近的進程或窗口也被關閉。

　　二、修改注冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示.

　　三、刪除注冊表裏關于安全模式設置的值，使安全模式被破壞，病毒會反複改寫注冊表，使清理專家和AV終結者專殺等修複安全模式的工具失效。

　　四、在C:盤目錄下釋放一個NetApi00.sys的驅動文件，並創建服務加載它，驅動的作用就是讀寫內核空間的內存。病毒把系統的內核文件加載起來，然後經過重定位，通過驅動來恢複系統中的SSDTHOOK.這使得很多的實時監控和主動防禦攔截監控失敗，病毒恢複SSDT後就刪除自己的驅動。

　　五、刪除注冊表HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer鍵及其子鍵，使用戶設定組策略中的軟件限制策略的設置失效。

　　六、不斷刪除注冊表的要害鍵值來來破壞安全模式和殺毒軟件和主動防禦的服務,使很多主動防禦軟件和實時監控無法再被開啓。

　　七、病毒在每個硬盤分區和可移動磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個文件，來達到自運行的目的。並以獨占方式打開這兩個文件，使其無法被直接刪除、訪問和拷貝。

　　倘若檢測到病毒進程被關閉，就會立即又啓動病毒進程，若某些安全工具阻止了它啓動進程，病毒就馬上重啓系統！

　　十、病毒並不主動添加啓動項，而是通過重啓重命名方式來把C:\下的0357589.log文件(0357589是一些不固定的數字)改名到」啓動」文件夾下的~.exe.664406.exe(664406也不固定)。重啓重命名優先與自啓動,啓動完成後又將自己刪除或改名回去.這種方式自啓動極爲隱蔽,現有的安全工具都無法檢測的出來.AV終結者專殺無法徹底清除這個磁碟機變種,正是因爲這個原因!

　　感染途徑：

　　1.可移動磁盤的自運行

　　2.其它下載者病毒或惡意軟件

　　3.惡意網站下載

 

 

 

 

 

 

 

 

 

 

 

 

病毒名稱(中文): 磁碟機變種102400 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 36864 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個AUTORUN病毒,會關閉一些安全工具和殺毒軟件並阻止其運行運行,並會不斷檢測窗口來關閉一些殺毒軟件及安全輔助工具,破壞安全模式,刪除一些殺毒軟件和實時監控的服務,遠程注入到其它進程來啓動被結束進程的病毒,反複寫注冊表來破壞系統安全模式,病毒會在每個分區下釋放AUTORUN.INF來達到自運行. 一、病毒通過修改系統默認加載的DLL列表項來實現DLL注入,並在注入後設置全局鈎子. 通過遠程進程注入,並根據以下要害字關閉殺毒軟件和病毒診斷等工具： 360safe 360安全 ieframe cabinetwclass mozillauiwindowclass metapad dr.web avg 木 tapplication AfxControlBar42s 360safe 360anti afx: 金山 thunderrt6main 木 antivir 費爾 微點 kv monitor 診 具 SREng介紹 升級 thunderrt6formdc ThunderRT6Timer ewido escan mcagent 瑞 防 升 bitdefender facelesswndproc 狙劍 防 雲 牆 firewall eqsyss eset arp 掃描 病毒枚舉進程名,通過搜索以下要害字來關閉進程: rav avp twister kv watch kissvc scan guard 找到帶有要害字的窗口後，就往目標窗口發送大量的垃圾消息，是其無法處理而進入假死的狀態，當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。 病毒關閉殺毒軟件的方法沒有什麽創新,但要害字變的更短，使一些名字相近的進程或窗口也被關閉。 二、修改注冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示. 三、刪除注冊表裏關于安全模式設置的值，使安全模式被破壞，病毒會反複改寫注冊表，使清理專家和AV終結者專殺等修複安全模式的工具失效。 四、在C:盤目錄下釋放一個NetApi00.sys的驅動文件，並創建服務加載它，驅動的作用就是讀寫內核空間的內存。病毒把系統的內核文件加載起來，然後經過重定位，通過驅動來恢複系統中的SSDTHOOK.這使得很多的實時監控和主動防禦攔截監控失敗，病毒恢複SSDT後就刪除自己的驅動。 五、刪除注冊表HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer鍵及其子鍵，使用戶設定組策略中的軟件限制策略的設置失效。 六、不斷刪除注冊表的要害鍵值來來破壞安全模式和殺毒軟件和主動防禦的服務,使很多主動防禦軟件和實時監控無法再被開啓。 七、病毒在每個硬盤分區和可移動磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個文件，來達到自運行的目的。並以獨占方式打開這兩個文件，使其無法被直接刪除、訪問和拷貝。 倘若檢測到病毒進程被關閉，就會立即又啓動病毒進程，若某些安全工具阻止了它啓動進程，病毒就馬上重啓系統！ 十、病毒並不主動添加啓動項，而是通過重啓重命名方式來把C:\下的0357589.log文件(0357589是一些不固定的數字)改名到」啓動」文件夾下的~.exe.664406.exe(664406也不固定)。重啓重命名優先與自啓動,啓動完成後又將自己刪除或改名回去.這種方式自啓動極爲隱蔽,現有的安全工具都無法檢測的出來.AV終結者專殺無法徹底清除這個磁碟機變種,正是因爲這個原因! 感染途徑： 1. 可移動磁盤的自運行 2. 其它下載者病毒或惡意軟件 3.惡意網站下載

 

 

 

　　免責聲明：本文僅代表作者個人觀點，與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的，並不意味著贊同其觀點或證實其描述，其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，並請自行核實相關內容。