木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)

以下是这两天极度猖獗的AUTO病毒最新变种的分析报告:

一.行为概述
该EXE是病毒下载器,它会:
1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名。
2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。
3) 在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。
4) 修改系统键值,将系统隐藏文件选项删除,造成用户无法查看隐藏起来的病毒文件。
5) 修改系统注册表,将自己注册为服务开机启动。
6) 搜索注册表启动项里是否有“360”字符串键值,有了删除,并用ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE, 有则修改系统时间,使得卡巴失效。
7) 通过网站文件列表下载其它病毒。
8) 删除该病毒以前版本遗留的注册表信息。
9) “随机名.dll” 会远程注入系统进程中的所有进程

二.执行流程
1. 参考C 盘卷序列号的数值算出8 位随机的服务名,exe 和dll 的文件名。(还记得AV终结者吗?最开始出来就是随机8位数文件名的EXE)
2. 搜索当前文件名是不是auto.exe,若是调用explorer.exe ShellExecuteA 打开驱动器。
3. 对抗杀毒软件:
    搜索注册表启动项里是否有“360”字符串键值,有则删除,使得360以后都无法自动启动。并紧接着关闭已启动的360程序。
    检查当前进程中有没有卡巴斯基的进程AVP.EXE ,有的话修改系统时间,令依赖系统时间进行激活和升级的卡巴失效。
    病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口"KAVStart" ,找到后通过PostMessageA 发送CLOSE 消息,然后用FindWindowExA 搜索"金山毒霸" 通过SendMessageA 发送关闭消息,以及模拟用户,发送点击鼠标按键消息关闭。不过,经测试以上方法都不能关闭金山毒霸。

4. 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名,不是则复制自身副本到系统SYSTEM32 。

5. 将DLL注入系统进程,运行之后释放det.bat 删除自身

6. 病毒文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己,实现隐蔽运行。

7. 查找启动项里是否有包含360 的字符串,有了删除,并用SeDebugPrivilege 提升权限和ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。

8.篡改注册表中关于文件夹显示状态的相关数据,将系统隐藏文件选项删除。

9. 病毒查找老版本的自己留下的注册表信息,将其删除,便于进行升级。

10. 从病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下载病毒列表,根据列表信息去下载其它病毒,每次下载一个,运行后删除,再接着下载。

在它下载的病毒文件中,有木马自己的升级文件和某国际知名品牌的网络语音通讯软件,另外还包含17个针对不同知名网游的盗号木马,而在这些木马中,有一些其本身也具备下载功能。如果它们成功进入电脑,将引发无法估计的更大破坏。

11.除在本机上进行盗号,病毒还将自己的AUTO病毒文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含毒磁盘,病毒就会立即运行,搜索包含U盘等移动存储器在内的全部磁盘,如果发现有哪个磁盘尚未中毒,就立刻将其感染,扩大自己的传染范围。

三.删除方法
由于病毒DLL 文件远程注入包括系统进程在内的所有进程,采取直接删除的办法是无法彻底清楚的,必须删除DLL,同时删除服务,重起,在进行扫尾删除,由于该病毒换算需要大量时间,在刚开机时不能马上释放DLL 进行注入,此时也是清除的最佳时机。

建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE,添加到文件粉碎器的删除列表,将这些文件一次性彻底删除。重启后,再修复残留的注册表加载项。

四.Auto病毒专杀工具

下载地址:http://bbs.duba.net/attachment.php?aid=16127097
auto木马群专杀1.4功能:

引用:

1、对映像劫持的处理
2、对使毒霸监控变灰的msosXXX病毒的处理
3、对auto木马群下载者处理
4、对Appinit_Dlls处理
5、对执行挂钩的处理

auto木马群专杀不能代替“磁碟机/机器狗/av终结者专杀”,如果出现专杀被关闭的情况,请先使用“磁碟机/机器狗/av终结者专杀”。

该专杀工具可同时清除机器狗/AV终结者/8749病毒;修复“映像劫持”;修复Autorun.inf;修复安全模式。使用该专杀工具查杀后,请使用金山毒霸进行一次全面杀毒即可。
下载地址:http://www.duba.net/zhuansha/259.shtml

(0)

相关推荐

  • 木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)

    以下是这两天极度猖獗的AUTO病毒最新变种的分析报告: 一.行为概述 该EXE是病毒下载器,它会: 1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名. 2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性. 3) 在系统system32 下放置自身副本"随机名.exe "和释放出来的"随机名.dll" 并将它们伪装成具有隐藏属性的系统文件. 4) 修改系统键值,将系统隐藏文件选项删除,造成用户

  • 木马下载器Win32.TrojDownloader.Delf.114688

    木马下载器Win32.TrojDownloader.Delf.114688病毒行为: 该病毒是一个木马下载者,会从网上下载其他病毒至客户的机器上并运行.病毒运行后生衍生一个DLL文件至系统目录中. 1.生成文件 %WinDir%\System32\Downdll.dll 2.修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySetti

  • 伪AVP恶意木马下载器专杀工具下载

    伪AVP恶意木马下载器专杀工具下载

    "伪AVP恶意木马"是一个恶性下载器,通过网页挂马.第三方软件漏洞等手段进入用户电脑,在电脑中疯狂占用系统资源,导致运行速度异常缓慢,并下载Winsys ARP攻击工具来实施ARP攻击,当局域网机器浏览网络时就会造成中毒. 中了"伪AVP恶意木马"的用户能在C盘下看到一个ver.txt的木马下载器,该下载器会创建服务名为WinCom的服务,并大量下载网游盗号木马,严重威胁用户网络虚拟财产的安全. 在360安全中心的百科(http://baike.360.cn)和论坛

  • 用vbs实现7y7.us木马群的专杀工具 下载

    增加屏蔽:   16a.us     www.nice8.org     更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi

  • login.exe HGFS木马下载器的手动查杀方法

    样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

  • 情人节病毒介绍与专杀方案大全第1/2页

    典型"情人节"病毒的介绍 1.情人节(vbs.Valentin)病毒  情人节(vbs.Valentin)病毒是一个会写情书的病毒.它会将自身用脚本加密引擎加密后插入到HTML文件中,病毒运行时会产生一个名为Main.htm的病毒文件,并拷贝到系统目录中.并搜索outlook的地址薄中的所有邮件地址,向这些地址发送标题为:Feliz san valentin,内容为:Feliz san valentin. Por favor visita...的病毒邮件.该病毒还会通过网络聊天工具mI

  • 关于WIN32.EXE变态木马下载器的解决办法

    关于WIN32.EXE变态木马下载器的解决办法

    一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

  • woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具

    具体问题是这样的.卡巴杀出这些木马程序,但是我发现在"系统配置实用程序"里面的"启动"选项里面,有一些东西((可能最开始是病毒文件)).比如说,  C;DOCUME~1\Acer\LOCALS~1\Temp\wgso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wlso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wmso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\woso.exe

  • 利用Python制作百度图片下载器

    利用Python制作百度图片下载器

    前段时间写了一个百度图片下载器,结果发现有很多人需要使用.说实话之前写的那一款百度图片下载器比较LOW,今天刚好有时间就做了一下升级. 更新了两个BUG,一个是图片下载达到几千张的时候就没有图片可以下载了.另一个是下载进度不能实时的展示出来不知道下载到什么程度了. 同样的,我们先把需要的第三方库导入进来. '''UI界面相关的库''' from PyQt5.QtWidgets import * from PyQt5.QtCore import * from PyQt5.QtGui import

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

随机推荐