【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2009-2-3 13:21

Autorun.inf病毒

一直以为Autorun.inf病毒没什么技术含量,结果昨天中的一个病毒让我着实长了见识。

此病毒中毒症状:
    1、各盘符根目录下出现隐藏的Autorun.inf与System.dll文件,可删除,但立刻会被复制。
    2、绝大多数杀毒软件被映像劫持,无法运行。即使用出现杀毒软件界面一进行操作也会被立刻关闭。
    3、浏览器中只要出现杀毒软件关键字就会被自动关闭。
    4、注册表无法编辑。

此病毒高明之处为使用了驱动加载、进程注入,调用进程表看不出任何异常,而注册表启动项也没有任何改动。

中该毒之后会自动检测连网状态,并下载大量木马到IE缓存。

在网上搜索很久没有发现除重装以外可行办法(有一个号称可以删除,但在本人电脑上不行,不知是否因人而异),于是自己奋战四个小时,终于将其成功干掉。现给出手工杀毒办法:

由于该病毒注入了系统进程,在系统下无法删除其病毒文件,所以手工杀毒须自备PE光盘一张:
    1、进入PE系统;
    2、清空系统IE缓存文件夹、%Windir%\temp文件夹、硬盘用户的临时文件夹,如用户名为user,即路径为:c:\documents and settings\user\local settings\temp;
    3、将下列代码保存为Kill.Bat文件,然后执行:

@echo off
echo             *****请按任意键开始*****
pause
echo              程序执行中,请稍候……
@echo off
del c:\system.dll
del c:\WINDOWS\system32\w32time.dll /f /q
del c:\WINDOWS\system32\appmgmts.dll  /f /q
del c:\WINDOWS\system32\wiaservc.dll  /f /q
del c:\WINDOWS\system32\schedsvc.dll  /f /q
del c:\WINDOWS\system32\srsvc.dll  /f /q
del c:\WINDOWS\system32\test1.exe  /f /q
del c:\WINDOWS\system32\000AE.exe  /f /q
del c:\WINDOWS\system32\61821.exe /f /q
del c:\WINDOWS\system32\41485.exe  /f /q
del c:\WINDOWS\system32\craoe.dll  /f /q
del c:\WINDOWS\system32\craoek.exe /f /q
del c:\WINDOWS\system32\batteo.dll /f /q
del c:\WINDOWS\system32\batteok.exe /f /q
del c:\WINDOWS\system32\sh19008.exe /f /q
del c:\WINDOWS\system32\sh17029.exe /f /q
del c:\WINDOWS\system32\kandawf.dll /f /q
del c:\WINDOWS\system32\sh22007.exe /f /q
del c:\WINDOWS\system32\sh21017.exe /f /q
del c:\WINDOWS\system32\lenyuns.dll /f /q
del c:\WINDOWS\system32\xsisco.dll /f /q
del c:\WINDOWS\system32\kodens.dll /f /q
del c:\WINDOWS\system32\NsPass0.sys /f /q
del c:\WINDOWS\system32\NsPass1.sys /f /q
del c:\WINDOWS\system32\NsPass2.sys /f /q
del c:\WINDOWS\system32\NsPass3.sys /f /q
del c:\WINDOWS\system32\NsPass4.sys /f /q
del c:\WINDOWS\system32\Numeric32.exe /f /q
del c:\WINDOWS\system32\drivers\beep.sys /f /q
del c:\WINDOWS\system32\wins\rmlrgtrey.dll
del c:\WINDOWS\system32\wins\7293\svchost.exe /f /q
del c:\WINDOWS\system32\dllcache\beep.sys /f /q
del c:\windows\system32\schedsvc.dll /f /q
del c:\windows\system32\srsvc.dll /f /q
del c:\windows\system32\w32time.dll /f /q
del c:\windows\system32\appwinproc.dll /f /q
del c:\WINDOWS\system32\Nskhelper2.sys /f /q
echo            
echo            
echo               
echo               
echo            
echo            
echo           杀毒完成,请按任意键退出
pause
exit
    4、退出PE系统,进入硬盘系统,将%windir%下的regedit.exe改名为regedit.com双击执行,解除对各杀毒软件的映像劫持。关于映像劫持,本人在此不作解释,大家搜搜百度就知道了。
    5、更新杀软,扫描残余病毒文件。(建议使用瑞星网站的免费查毒功能检查是否还有病毒残留。本人电脑上扫描的残余病毒文件一般隐藏于系统还原文件夹与系统回收站文件夹,对于回收站文件夹下的病毒,可以采用命令行下删除的方法,也可以做成批处理,这些残留病毒文件名好像会随机生成,在此就不放出本人电脑上扫出的病毒文件名了)。

杀毒完成后,只发现系统还原功能好像被破坏了,其他没有什么影响!

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.