Virus.Win32.AutoRun.hw

王朝百科·作者佚名  2010-03-01  
宽屏版  字体: |||超大  

Virus.Win32.AutoRun.hw病毒查杀

一、 病毒标签:

病毒名称: Virus.Win32.AutoRun.hw

病毒类型: 下载者

文件 MD5:e7bcf531a6ef19d51dfa0b3f61e3f370

公开范围: 完全公开

危害.等级: C

文件长度: 18.5 KB (18,944 字节)

开发工具: Borland Delphi 6.0 - 7.0

加壳类型: 18.5 KB (18,944 字节)壳

命名对照:

江民 Virus.Autorun.es

熊猫 Generic Malware

瑞星 Trojan.DL.Win32.Autorun.yui

AntiVir TR/Delphi.Downloader.Gen

二、 病毒描述:

该病毒为下载者,打开隐.藏IE进程,通过UrlDownloadToFileA函数连接网.络下载:

http://down.dj7788.cn/arp/0.exe

http://down.dj7788.cn/arp/1.exe

http://down.dj7788.cn/arp/2.exe

http://down.dj7788.cn/arp/3.exe

http://down.dj7788.cn/arp/4.exe

http://down.dj7788.cn/arp/5.exe

http://down.dj7788.cn/arp/6.exe

http://down.dj7788.cn/arp/7.exe

http://down.dj7788.cn/arp/8.exe

http://down.dj7788.cn/arp/9.exe

http://down.dj7788.cn/arp/10.exe

http://down.dj7788.cn/arp/11.exe

http://down.dj7788.cn/arp/12.exe

http://down.dj7788.cn/arp/13.exe

http://down.dj7788.cn/arp/14.exe

http://down.dj7788.cn/arp/15.exe

http://down.dj7788.cn/arp/16.exe

http://down.dj7788.cn/arp/17.exe

http://down.dj7788.cn/arp/18.exe

http://down.dj7788.cn/arp/19.exe

该域名在前段时间因为17大的来临被.我提交给CERT的ATEK了,已经被和谐处理,所以下载失败。

只需要.下载专杀程序进行清理就可以了。

三、 行为分析

通过拦截窗口并用虚拟键盘输出绕过瑞星卡卡上网安全助手的IE防漏墙:

UPX0:00405BE1 ; ---------------------------------------------------------------------------

UPX0:00405BE2 align 4

UPX0:00405BE4 ; char WindowName[]

UPX0:00405BE4 WindowName db ''''IE 执行保护'''',0 ; DATA XREF: StartAddress+32 o

UPX0:00405BF0 ; char ClassName[]

UPX0:00405BF0 ClassName db ''''#32770'''',0 ; DATA XREF: StartAddress+37 o

UPX0:00405BF0 ; StartAddress+4C o

UPX0:00405BF0 ; StartAddress+17F o

UPX0:00405BF7 align 4

UPX0:00405BF8 ; char s_IeGD[]

UPX0:00405BF8 s_IeGD db ''''IE执行保护'''',0 ; DATA XREF: StartAddress+47 o

UPX0:00405C03 align 4

UPX0:00405C04 ; char s_A_0[]

UPX0:00405C04 s_A_0 db ''''允许执行'''',0 ; DATA XREF: StartAddress+6C o

UPX0:00405C0D align 10h

UPX0:00405C10 ; char s_Button[]

UPX0:00405C10 s_Button db ''''Button'''',0 ; DATA XREF: StartAddress+71 o

UPX0:00405C10 ; StartAddress+F8 o

UPX0:00405C10 ; StartAddress+198 o

UPX0:00405C17 align 4

UPX0:00405C18 ; char s_I[]

UPX0:00405C18 s_I db ''''确定'''',0 ; DATA XREF: StartAddress:loc_405A7F o

UPX0:00405C1D align 10h

UPX0:00405C20 ; char s_IIL-IeI[]

UPX0:00405C20 s_IIL-IeI db ''''瑞星卡卡上网安全助手 - IE防漏墙'''',0

UPX0:00405C20 ; DATA XREF: StartAddress:loc_405B06 o

UPX0:00405C40 ; char s_A[]

UPX0:00405C40 s_A db ''''允许'''',0 ; DATA XREF: StartAddress+193 o

UPX0:00405C45 align 4

UPX0:00405C48

UPX0:00405C48 ; *************** S U B R O U T I N E ***************************************

添加启动项目:

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinownes "ImagePath"

Type: REG_EXPAND_SZ

Data: C:WINDOWSsyst.em32sedrsvedt.exe

添加文件:

c:WINDOWSsystem32sedrsvedt.exe

Date: 10-16-2007 7:19 PM

Size: 18,944 bytes

*:autorun.inf

解决方案:

删除文件:

C:WINDOWSsystem3.2sedrsvedt.exe

*:autorun.inf

删除注册表:

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinownes "ImagePath"

Type: REG_EXPAND_SZ

Data: C:WINDOWSsystem32sedrsvedt.exe

SRENG:

[Telephotsgoogle / Winownes][Stopped/Auto Start]

{C:WINDOWSsystem32sedrsvedt.exe}{N/A}

或者下载专杀程序进行清除

Virus.Win32.AutoRun.hw病毒专杀工具下载

【原文地址:http://secure.itdigger.com/2007/10/16/203519546.htm 】

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有