性能優(yōu)化,Web開發(fā),nodejs。前端開發(fā),移動開發(fā)。
O2面向多終端技術(shù)體系,凹凸實(shí)驗(yàn)室 始建于2015年,前端開發(fā)、頁面制作技巧、原生APP開發(fā)等方面的專業(yè)知識及案例。致力于構(gòu)建沉淀與分享包括但不限于交互、是一個年輕基情的技術(shù)社區(qū)組織。
1.使用進(jìn)程管理器關(guān)閉 IEXPLORE.EXE、wuauc1t.exe、explorer.pif進(jìn)程。
2.將金山清理專家主程序KASMAIN.EXE重命名,再執(zhí)行。然后修復(fù)鏡項(xiàng)劫持、安全模式、和隱藏文件選
項(xiàng)
3.刪除以下文件:
%windir%\system32\wuauc1t.exe
%TempPath%\ 陳冠希 原 版 相片 .rar
c:\sys.pif
c:\1~40.pif
%windir%\system32\syurl.dll
4.如果不可以打開IE搜索殺毒軟件和任何關(guān)于系統(tǒng)的字眼,可通過QICQ等渠道或許直接下載360安全衛(wèi)士下載地址。然后連續(xù)安裝多個360安全衛(wèi)士。一直到出現(xiàn)殺毒完成請重新啟動計算機(jī)。本人嘗試多次。可行!AOTURUN不可直接結(jié)束360安裝前掃描。
各驅(qū)動器下的explorer.pif和 autorun.inf
一.行為概述
該EXE是病毒下載器,它會:
1.參考系統(tǒng)C盤卷序列號來算出服務(wù)名,EXE 和DLL 的文件名。
2.在每一個驅(qū)動器下放置auto病毒autorun.inf 和自身副本auto.exe 并加系統(tǒng)和隱藏屬性。
3.在系統(tǒng)system32 下放置自身副本“隨機(jī)名.exe ”和釋放出來的“隨機(jī)名.dll” 并將它們偽裝成具有隱藏屬性的系統(tǒng)文件。
4.修改系統(tǒng)鍵值,將系統(tǒng)隱藏文件選項(xiàng)刪除,造成用戶無法查看隱藏起來的病毒文件。
5.修改系統(tǒng)注冊表,將自己注冊為服務(wù)開機(jī)啟動。
6.搜索注冊表啟動項(xiàng)里是否有“360”字符串鍵值,有了刪除,并用ntsd 關(guān)閉程序,搜索窗口是否含有“殺毒軟件”,有了模擬操作關(guān)閉。判斷進(jìn)程里是否有卡巴斯基的文件avp.exe, 有則修改系統(tǒng)時間,使得卡巴失效。
7.通過網(wǎng)站文件列表下載其它病毒。
8.刪除該病毒以前版本遺留的注冊表信息。
9.“隨機(jī)名.dll” 會遠(yuǎn)程注入系統(tǒng)進(jìn)程中的所有進(jìn)程
1.參考C 盤卷序列號的數(shù)值算出8 位隨機(jī)的服務(wù)名,exe 和dll 的文件名。(還記得AV終結(jié)者嗎?最開始出來就是隨機(jī)8位數(shù)文件名的EXE)
2.搜索當(dāng)前文件名是不是auto.exe,若是調(diào)用explorer.exe ShellExecuteA 打開驅(qū)動器。
3.對抗殺毒軟件:
1)搜索注冊表啟動項(xiàng)里是否有“360”字符串鍵值,有則刪除,使得360以后都無法自動啟動。并緊接著關(guān)閉已啟動的360程序。
2)檢查當(dāng)前進(jìn)程中有沒有卡巴斯基的進(jìn)程AVP.EXE ,有的話修改系統(tǒng)時間,令依賴系統(tǒng)時間進(jìn)行激活和升級的卡巴失效。
3)病毒還會試圖關(guān)閉殺毒軟件它查找毒霸的監(jiān)視提示窗口"KAVStart" ,找到后通過PostMessageA 發(fā)送CLOSE 消息,然后用FindWindowExA 搜索"殺毒軟件" 通過SendMessageA 發(fā)送關(guān)閉消息,以及模擬用戶,發(fā)送點(diǎn)擊鼠標(biāo)按鍵消息關(guān)閉。不過,經(jīng)測試以上方法都不能關(guān)閉絕大部分殺毒軟件。
4.比較當(dāng)前文件運(yùn)行路徑是不是在系統(tǒng)SYSTEM32 下的隨機(jī)名,不是則復(fù)制自身副本到系統(tǒng)SYSTEM32 。
5.將DLL注入系統(tǒng)進(jìn)程,運(yùn)行之后釋放det.bat 刪除自身
6.病毒文件注入explorer.exe 或winlogon.exe 循環(huán)等待,利用它們的空間運(yùn)行自己,實(shí)現(xiàn)隱蔽運(yùn)行。
7.查找啟動項(xiàng)里是否有包含360 的字符串,有了刪除,并用SeDebugPrivilege 提升權(quán)限和ntsd 關(guān)閉程序,搜索窗口是否含有“殺毒軟件”,有了模擬操作關(guān)閉。
8.篡改注冊表中關(guān)于文件夾顯示狀態(tài)的相關(guān)數(shù)據(jù),將系統(tǒng)隱藏文件選項(xiàng)刪除。
9.病毒查找老版本的自己留下的注冊表信息,將其刪除,便于進(jìn)行升級。
10.從病毒作者指定的地址33.xi***id*8/soft/update.txt 下載病毒列表,根據(jù)列表信息去下載其它病毒,每次下載一個,運(yùn)行后刪除,再接著下載。
在它下載的病毒文件中,有木馬自己的升級文件和某國際知名品牌的網(wǎng)絡(luò)語音通訊軟件,另外還包含17個針對不同知名網(wǎng)游的盜號木馬,而在這些木馬中,有一些其本身也具備下載功能。如果它們成功進(jìn)入電腦,將引發(fā)無法估計的更大破壞。
11.除在本機(jī)上進(jìn)行盜號,病毒還將自己的AUTO病毒文件auto.exe 和autorun.inf 釋放到每一個磁盤分區(qū)里。autorun.inf 指向auto.exe。只要用戶用鼠標(biāo)雙擊含毒磁盤,病毒就會立即運(yùn)行,搜索包含U盤等移動存儲器在內(nèi)的全部磁盤,如果發(fā)現(xiàn)有哪個磁盤尚未中毒,就立刻將其感染,擴(kuò)大自己的傳染范圍。
1.由于病毒DLL 文件遠(yuǎn)程注入包括系統(tǒng)進(jìn)程在內(nèi)的所有進(jìn)程,采取直接刪除的辦法是無法徹底清楚的,必須刪除DLL,同時刪除服務(wù),重起,在進(jìn)行掃尾刪除,由于該病毒換算需要大量時間,在剛開機(jī)時不能馬上釋放DLL 進(jìn)行注入,此時也是清除的較佳時機(jī)。
2.建議用戶使用金山清理專家將這些隨機(jī)8位數(shù)命名的DLL和EXE,添加到文件粉碎器的刪除列表,將這些文件一次性徹底刪除。重啟后,再修復(fù)殘留的注冊表加載項(xiàng)。
下載地址:bbs.duba/attachment.php?aid=16127097
提示:請及時升級殺毒軟件!!
病毒特點(diǎn)
該病毒通過給 QQ 好友發(fā)送“陳冠希原版相片.rar”來進(jìn)行傳播,自身通過鏡項(xiàng)劫持安全軟件和在驅(qū)動
器下建立 autorun.inf 來自啟動,并下載 40 多種病毒木馬。結(jié)束安全軟件進(jìn)程,并修改系統(tǒng)時間。修
改注冊表破壞安全模式登錄,影響顯示隱藏文件。
1.創(chuàng)建自動運(yùn)行文件,在各磁盤根目錄會發(fā)現(xiàn)explorer.pif 和autorun.inf文件
2.嘗試關(guān)閉以下安全軟件的進(jìn)程
Safe.exe; 360tray.exe;vstskmgr.exe;runiep.exe;RAS.exe;updaterui.exe;TBMon.exe;
KASARP.exe;scan32.exe;vpc32.exe;VPTRAY.exe;antiarp.exe;kregex.exe; KvXP.kxp;
kvsrvxp.kxp;kvsrvxp.exe;kvwsc.exe;iparmor.exe;AST.EXE
3.向QQ聊天窗口發(fā)送陳冠希原版相片.rar的病毒文件,該壓縮包充分利用了社會工程學(xué)原理進(jìn)行欺騙,
雙擊就會中招。
4.修改系統(tǒng)時間為2002年
5.嘗試停止安全軟件的服務(wù)
6.將自身拷貝到"C:\WINDOWS\system32\wuauc1t.exe",并將屬性改為系統(tǒng)隱藏。
7.通過***/下載大量盜號木馬
8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"
的 CheckedValue項(xiàng)改為 0(默認(rèn)為1),破壞顯示隱藏的系統(tǒng)文件
9.刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\safeboot\Minimal \,來破壞安全模
式,導(dǎo)致無法啟動系統(tǒng)到安全模式來殺毒。
10.映像劫持以下安全軟件為
"C:\WINDOWS\system32\wuauc1t.exe",使得運(yùn)行以下軟件時,實(shí)際執(zhí)行的是病毒程序。360rpt.EXE;
360safe.EXE;360tray.EXE;AVP.EXE;AvMonitor.EXE;CCenter.exe;IceSword.EXE; Iparmor.EXE;
kvmonxp.kxp;KVSrvXP.EXE;KVWSC.EXE;navapsvc.exe;nod32kui.exe; KRegEx.EXE;
FrameworkService.exe;mmsk.exe;wuauclt.exe;Ast.EXE; WOPTILITIES.EXE;Regedit.EXE;
AutoRunKiller.exe;VPC32.exe;VPTRAY.exe; ANTIARP.exe;KASARP.exe;QQDOCTOR.EXE
溫馨提醒:文章觀點(diǎn)來源網(wǎng)絡(luò),隨時光飛逝,歲月變遷,準(zhǔn)確性、可靠性、難免有所變動,因此本文內(nèi)容僅供參考!