注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
技术交流
» 【3AST分享】警惕伪装成文件夹的流氓U盘病毒Expl0rer.exe
返回列表
发帖
valen886
发短消息
加为好友
valen886
当前离线
UID
1225
帖子
310
精华
0
积分
810
威望
1302
金钱
1010
阅读权限
90
在线时间
2 小时
注册时间
2008-7-16
最后登录
2009-2-13
3.A.S.T中校
帖子
310
积分
810
威望
1302
金钱
1010
在线时间
2 小时
1
楼
跳转到
»
正序看帖
打印
字体大小:
t
T
发表于 2009-2-11 12:15
|
只看该作者
【3AST分享】警惕伪装成文件夹的流氓U盘病毒Expl0rer.exe
U盘
,
exe
,
文件
,
分享
警惕伪装成文件夹的流氓U盘病毒Expl0rer.exe
警惕伪装成文件夹的流氓U盘病毒Expl0rer.exe
作者:清新阳光 (
http://hi.baidu.com/newcenturysun
)
日期:2008/01/12 (转载请保留此声明)
File: EXPL0RER.EXE
Size: 21504 bytes
File Version: 1.00.2900
Modified: 2008年1月12日, 22:03:26
MD5: 8705EC3E51AF609AD73EB8B803FEA796
SHA1: 01015B9F9231018A58A3CA1B5B6A27C269F807E6
CRC32: 21A3FAE7
1.病毒运行后,衍生如下副本:
%systemroot%\EXPL0RER.EXE(注意中间是数字0)
遍历所有分区,把所有属性为非隐藏的文件夹隐藏,并生成一个与该文件夹名称相同的病毒文件,诱惑用户点击
在可移动存储中写入autorun.inf和EXPL0RER.EXE
2.修改很多系统关联项目,其中包括
HKLM\SOFTWARE\Classes\Directory\shell\explore\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\Directory\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"(修改文件夹打开关联,也就是说即便你打开的是正常的文件夹,那么也会运行病毒文件!!很好很强大!!也很流氓!!)
HKLM\SOFTWARE\Classes\Drive\shell\explore\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\Drive\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"(同样修改磁盘打开关联,病毒没有通过传统的auto方式启动,而是通过这种流氓方式,也就是说你每打开一次某个分区,便运行一次病毒!!!)
创建HKLM\SOFTWARE\Classes\exefile\NeverShowExt: ""(永久性隐藏exe文件的扩展名)
修改inf,ini,txt,vbs,chm,reg文件的文件关联
HKLM\SOFTWARE\Classes\inffile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\inifile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\txtfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
3.破坏显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
4.破坏安全模式
删除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network键
5.利用GetForegroundWindow,GetWindowTextA等函数获得窗口的标题并利用PostMessageA函数关闭带有某些指定字符的窗口,诸如
twomcc
wopt
360
...
并可关闭注册表编辑器和任务管理器...
6.修改系统日期为1988.11.30
7.连接网络利用InternetReadFile函数读取
http://www.lice.eb.cn/update.txt
但该链接已失效 猜想是为了更新病毒所用
8.利用GetComputerNameA获得机器名称,并利用
http://www.lice.eb.cn/qq.asp?ip=
机器名称 提交
清除办法:(一定要严格按照顺序操作不得跳步)
下载Icesword:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng:
http://download.kztechs.com/files/sreng2.zip
操作注意事项: 操作中不要打开任何文件夹,因为所有“文件夹”全已经是伪装的病毒了,也不要打开任何磁盘分区!
下载来的Icesword和sreng直接解压到桌面上 也不要解压到一个文件夹中
1.运行 Icesword.exe 进程 结束%systemroot%\EXPL0RER.EXE进程 (注意中间是数字0,而且图标为文件夹图标)
点击左下角文件按钮
进入Icesword的文件管理器
删除%systemroot%\EXPL0RER.EXE
还是注意 不要删错 该文件大小为21504字节
2.打开sreng
系统修复- 文件关联 点击修复
Windows Shell/IE 全选 点击修复
高级修复 修复安全模式
3.把下列文字复制到记事本中 并改名为1.bat 运行
reg delete "HKLM\SOFTWARE\Classes\Drive\shell\explore" /f
reg delete "HKLM\SOFTWARE\Classes\Drive\shell\open" /f
reg delete "HKLM\SOFTWARE\Classes\Directory\shell\explore" /f
reg delete "HKLM\SOFTWARE\Classes\Directory\shell\open" /f
一段类似dos的屏幕滚动过后就可以了
4.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击菜单栏下方的搜索按钮
查找所有文件和文件夹
全部或部分文件名 *.exe
在这里查找:我的电脑
指定大小 至多为22K
并勾选搜索隐藏的文件和文件夹选项
搜索完毕后,会发现搜索到很多文件夹图标的exe文件 大小均为21k左右 全部删除之!!
5.恢复文件夹属性
可以用attrib -s -h /s /d 对应文件夹路径 这样的命令恢复,工程有点浩大...
收藏
分享
happychain
发短消息
加为好友
happychain
当前离线
UID
1280
帖子
20
精华
0
积分
31
威望
37
金钱
35
阅读权限
10
在线时间
1 小时
注册时间
2008-7-16
最后登录
2009-2-13
3.A.S.T士兵
帖子
20
积分
31
威望
37
金钱
35
在线时间
1 小时
2
楼
发表于 2009-2-11 12:15
|
只看该作者
0呀?O变0,也不错
TOP
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@
@@@ 加入本站会员 一个月月赚1200+的秘密@@@