Cheburgen.a cmdbcs.exe cmdbcs.dll专杀

原文地址：[url]http://secure.itdigger.com/2007[/url]\09\14/11524815.htm


Virus.Win32.Cheburgen.a（cmdbcs.exe/cmdbcs.dll）解决方案

一、病毒描述：
木马运行后拷贝自身到系统目录，添加开机启动项，连接IRC服务器接受黑客指令。

二、病毒基本情况：
病毒名称：Virus.Win32.Cheburgen.a
病毒别名：Win32/Virut.NAB


病毒类型：木马
危害级别：3
感染平台：Windows
病毒大小：27,136(字节)
SHA1　　：a25e51e5be88aba23f2aca890530f6bc48b17189

三、病毒行为：
1、病毒运行后会生成以下文件：
%windir%\cmdbcs.exe
%windir%\system32\cmdbcs.dll
将cmdbcs.dll注入到explorer进程后，删除安装文件。　　
2、在注册表里添加开机启动项：
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：cmdbcs
键值：%windir%\\cmdbcs.exe 　　
3、连接IRC服务器，接受指令。本此分析时木马接受的指令为下载木马。
IRC服务器地址：proxim.ircgalaxy.pl
下载木马的地址： [url]http://85.114.140.107/~grander/dl.exe[/url]（此木马为下载者）
dl.exe又会从网上下载大量木马程序。　　

四、解决方案：
手工查杀：
1、打开超级巡警，选择进程管理，杀死explorer进程，等待explorer的恢复，这步是为了卸载cmdbcs.dll。
2、删除木马文件：%windir%\cmdbcs.exe，%windir%\system32\cmdbcs.dll
3、删除启动项。
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：cmdbcs
键值：%windir%\\cmdbcs.exe
4、清除其他木马。
自动查杀：
1、升级超级巡警到最新病毒库，并进行全盘扫描。


五、安全建议： 　　
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能，检查系统补丁，并及时安装补丁。
3、不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，另外不建议设置可写或可控制。
4、不要随便打开不明来历的电子邮件，尤其是邮件附件。
5、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
6、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。
7、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。