Virus.Win32.AutoRun.bk

病毒标签：

病毒名称： Virus.Win32.AutoRun.bk{卡巴斯基}

病毒类型： 木马

MD5 : 6A37D69A267EB275083D52B6B5F82F4D

公开范围： 完全公开

危害等级： 4

文件长度： 24.0 KB (24,576 字节)

开发工具： DELPHI

加壳类型： UPX

字串7

病毒描述:

字串4

来自htp://ck1.in/n.js的病毒.网页均为CRYPTHTML加密.为下载者,运行后连接网络下载15个病毒,下载的病毒进行DLL释放和DLL插入进程进行监控盗取游戏帐号.有一定的传播范围.

字串6

行为记录:

字串8

连接网络

字串9

202.59.153.94

209.11.243.35

http://ck1.in/Sex/1.exe .....15.exe

字串5

下载15个EXE.每个EXE释放一个DLL插入当前活动的非系统进程.下载的EXE都在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

增加一个启动项目.

字串7

注册表修改: 字串9

-增加启动项目:

字串3

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks "0CCE6E12-C2EC-56CD+1A62-AE3FD6EF56E6}"

Type: REG_SZ

字串2

解决方案:

字串5

关闭网络连接.

删除RUN键下的此类随机字符加序号的命名文件:

<afksdfks1><C:WINDOWSsystem32asdls1.exe> []

删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks "0CCE6E12-C2EC-56CD+1A62-AE3FD6EF56E6}"

以及其所指向的文件. 字串9

清空所有临时文件夹.

用SRENG扫描进程,检查插入进程的随机字符命名的DLL.删除之.