针对卡巴,瑞星的servet.exe,AutoRun.inf下载者(Trojan-Downloader.Win32.Baser.w )的分析和清除

 
作者:Westbec k
 
最近一段时间,下载器类的病毒再次流行,只要中了一个,就会下载十几个病毒。下载的病毒盗号的盗号,感染的感染,耍流氓的耍流氓,还有专门对付杀软的...这样会给用户的清除带来很大的困难,给用户造成很大的损失。下文便对一个下载类的病毒做简单分析。
 
病毒名称:Trojan-Downloader.Win32.Baser.w (Kaspersky)
病毒大小:18944 bytes
加壳方式:UPX
样本MD5:7be33ec6f747a839fa85970a36212989
样本SHA1:6ac9bea78fa7514b38f54adc479373a9c17d85f5
编写语言:Borland Delphi 6.0 - 7.0
传播方式:下载,网络
 
病毒描述:
该病毒是下载类的病毒,病毒运行后复制自身到%System32%文件下,注册为系统服务,修改注册表“自动播放”键值,后台调用IE连接到指定网址下载其它病毒。病毒还会尝试检测用户是否装了卡巴,如有则修改系统时间,尝试绕过瑞星与卡卡助手的拦截。最后释放批处理删除自身。
 
 
行为分析:
1,病毒运行后,复制自身到:%System32%servet.exe
 
2,病毒会在各分区根目录复制副本,创建autorun.inf:
X:\Autorun.inf
X:\servet.exe
AUTORUN.INF内容:
[AutoRun]
open=servet.exe
shellexecute=servet.exe
shell\Auto\command=servet.exe
 
3,病毒会注册为系统服务:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
显示名:WindowsDo/Telephots google 
描述:为即插即用设备提供支持
可执行文件的路径:%System32%servet.exe
 
4,修改注册表NoDriveTypeAutoRun键值,以利用自动播放功能传播病毒
 
5,病毒会访问%System32%drivers目录,查找klif.sys驱动,若有,则运行cmd命令,修改系统时间为1981-01-12后再把时间改回来让卡巴挂掉
 
6,病毒还会查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。以此绕过瑞星与卡卡助手的拦截。
 
7,病毒会调用IE,下载如下病毒并运行:
原文是一些网址。。但是为了安全起见还是不列出来了,以免不小心下载。。。。(尤其是打开快车或者迅雷的时候自动下载)如果需要查看。。可以查看原文。。。
 
其中13,19下载不了,除了system22.exe是威金,会感染全盘exe文件外,其余都是盗号类的病毒。
 
 
手动清除方法:
由于下载的其中一个病毒是感染类的病毒,所以这里不给出下载的病毒的手动清除方法,建议广大网友将杀软升级到最新的病毒库,全盘进行查杀。
 
1 ,断网
 
2,调出任务管理器,结束病毒调用的IE进程
 
3,删除%System32%servet.exe
 
4,利用“右键--打开”进入各个驱动器根目录下,删除:servet.exe和Autorun.inf文件
 
5,删除以下注册表键值:
[HKLM\System\CurrentControlSet\Services\WindowsDo]
 
6,建议禁用系统自动播放功能
 
原文地址: [url]http://secure.itdigger.com/2007/10/02/143907265.htm[/url]
 
 

你可能感兴趣的:(休闲,专杀,Autorun.inf,servet.exe)