Msinfmgr和Autorun.inf病毒火热流行!

     近日,Msinfmgr和Autorun.inf病毒异常火暴,尤以高校为主。有中招者,U盘所到之处,系统全部重装!该病毒是以U盘为主要载体进行传播的,查看Autorun.ini文件应该会发现其自动调用Msinfmgr.exe的字样,即U盘自动播放会自动调用病毒程序。虽然原理比较简单,但是危害却极大。

     病毒主文件的文件名为msinfmgr.exe。在染毒的闪盘上会发现有msinfmgr.exe和autorun.inf文件,感染电脑后在安全模式下会看到/windows/system32下建立msinfmgr.exe和msinfmgr.dll文件,在/windows/system/drivers下建立msinfomgr.sys文件。在D盘下建立文件msinfmgr.exe和autorun.inf文件,因此有不少人中毒后重装系统一样染毒。任务管理器中会出现多个msinfmgr.exe进程,并会不断增多,短时间内就会造成系统瘫痪,同时很多软件都无法运行,进入Windows会报错。


    进行静态查杀,所测试过的杀毒软件只有nod32发现未知病毒。在虚拟机下动态测试时,直接运行msinfmgr文件后,在我的电脑里看不到任何内容,一面空白,在分区上点鼠标右键会出现异常的菜单。一些软件无法运行,此外无其它症状。

  病毒分析:

Automatic Sandbox analysis of unknown malware (Rootkit.V.dropper)
[ General information ]
* Accesses executable file from resource section.
* Creating several executable files on hard-drive.
* File length: 106496 bytes.
* MD5 hash: daf145d0a560ae44dd132dff5acb2a80.

[ Changes to filesystem ]
* Creates file C:/WINDOWS/SYSTEM32/msinfmgr.exe.
* Creates file C:/WINDOWS/SYSTEM32/drivers/msinfomgr.sys.
* Creates file C:/WINDOWS/SYSTEM32/msinfdll.dll.

[ Changes to registry ]
* Creates key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Sets value "Type"="" in key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Sets value "ErrorControl"="" in key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Sets value "Start"="" in key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Sets value "DisplayName"="msinfmgr" in key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Sets value "ImagePath"="system32/drivers/msinfomgr.sys" in key "HKLM/System/CurrentControlSet/Services/msinfmgr".
* Creates key "HKLM/Software/Microsoft/Windows NT/currentversion/Winlogon/Notify/msinflogon".
* Sets value "Asynchronous"="" in key "HKLM/Software/Microsoft/Windows NT/currentversion/Winlogon/Notify/msinflogon".
* Sets value "DllName"="msinfdll.dll" in key "HKLM/Software/Microsoft/Windows NT/currentversion/Winlogon/Notify/msinflogon".
* Sets value "Impersonate"="" in key "HKLM/Software/Microsoft/Windows NT/currentversion/Winlogon/Notify/msinflogon".
* Sets value "Startup"="logon_startup" in key "HKLM/Software/Microsoft/Windows NT/currentversion/Winlogon/Notify/msinflogon".

[ Changes to system settings ]
* Creates WindowsHook monitoring journal record activity.
* Creates WindowsHook monitoring messages activity.

[ Process/window information ]
* Creates a mutex 0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6.

[ Signature Scanning ]
* C:/WINDOWS/SYSTEM32/msinfmgr.exe (106496 bytes) : no signature detection.
* C:/WINDOWS/SYSTEM32/drivers/msinfomgr.sys (9728 bytes) : Rootkit.V.
* C:/WINDOWS/SYSTEM32/msinfdll.dll (57344 bytes) : no signature detection.

     由于杀毒软件无法查杀,所以只能手工清除。目前网上出现的方法都是靠查找注册表键并清理以及手工删除病毒文件来解决的。

1 进入安全模式
2 在“开始--运行”下:regedit
注意:在对注册表进行操作的时候,最好先将注册表备份,方法:“开始”—“导出注册表”将备份注册表文件放在非系统盘,当杀毒完毕以后,再将备份注册表文件删除。
3 查找msinfmgr 第一次查找到的是LEGACY_MSINFMGR
A )   删除LEGACY_MSINFMGR。若提示“无法删除LEGACY_MSINFMGR:删除时出错” ---解决方法:选择该项右键权限—完全控制 点勾。应用,然后就可以删除了。
B)     接着继续查找msinfmgr 会找到一个msinfmgr文件夹,删除。接着继续查找msinfmgr,找到就删除,直到整个注册表内都删除完毕。
      打开我的电脑,在“工具—文件夹选项—查看”
1     将“隐藏受保护的操作系统合文件夹”和“隐藏已知文件类型的扩展名”对勾摘掉;
  2 选择“显示所有文件和文件夹”选项。然后应用。如图:
A)在system32目录下:
删除msinfmgr.exe和msinfdll.dll这俩个文件,在删除msinfdll.dll时,会提示无法删除。解决方法:修改msinfdll.dll文件的后缀名为“msinfdll.txt”,这时还是不能删除,需要在第5步完成以后才可以重启再删除。
B) system32/drivers目录下:
    删除msinfomgr.sys
2     在D盘下删除msinfmgr.exe和Autorun.inf这俩个文件,并且检查其他盘符下是否有msinfmgr.exe和Autorun.inf这俩个文件,全部删除。
5 重新启动计算机:
在system32目录下删除刚才修改后缀名的那个msinfdll.txt文件。

你可能感兴趣的:(Msinfmgr和Autorun.inf病毒火热流行!)