文件名称:msn.exe
文件大小:139264 bytes
AV命名:Packed.Win32.Klone.af(Ikarus)
加壳方式:PE-Armor并伪装VC
编写语言:Delphi
病毒类型:后门
文件MD5:ce726b53a142db07d2355556b60cb4c8
病毒描述:
该病毒通过U盘等移动介质传播,连接网络,下载其他流氓软件。并经过免杀处理,一些主流杀软无法识别。
行为分析:
1、释放病毒副本,并加入到系统启动文件夹项目,开机自启:
C:Documents and SettingsUser Name「开始」菜单程序启动msn.exe
2、遍历分区,在磁盘目录下生成Autorun.inf和Msn.exe。
3、连接58.211.16.30等,下载流氓软件,包括百度搜霸、CNNIC等。
4、每隔一段时间连接网络,检测是否有更新,并尝试重新下载(流氓软件)。
主体与流氓软件清除方法:
1、http://gudugengkekao.ys168.com/(或其他地方)下载:SREng、冰刃。
2、断开网络连接,并关闭不需要的进程。
3、打开冰刃,设置禁止线程创建,确定。
4、冰刃“文件”功能,删除:
C:Documents and Settingsadmin「开始」菜单程序启动msn.exe
(这个是在程序-启动里的,要先删除!)
还有C—Z盘下的Autorun.inf和Msn.exe,也是主体,不要漏了。
其他的流氓程序:
C:Windowsdelself.bat
C:Windowshtmlpeek.dll
C:Windowssvchost.exe
C:Windowssystem32adtuosa.exe
C:Windowssystem32cmbinfo.dat
C:Windowssystem32comrcinf.dat
C:Windowssystem32delself.bat
C:Windowssystem32dodolook254.exe
C:Windowssystem32dsgj.exe
C:Windowssystem32edincc.dll
C:Windowssystem32mprmsgse.axz
C:Windowssystem32mscpx32r.det
C:Windowssystem32my_70049.exe
C:Windowssystem32refresh.exe
C:Windowssystem32ComConfig.cfg
C:Windowssystem32Com1.0.0WndHook.dll
C:Windowssystem32driversacpidisk.sys
C:Windowssystem32driversn2bg5lo.sys
C:Windowssystem32driverssebm1to1h8.sys
5、设置冰刃,重启并监视。
6、重启后打开SREng,删除:
驱动
[acpidisk / acpidisk][Running/Auto Start]
{??C:winntsystem32driversacpidisk.sys}{N/A}
[sebm1to1h8 / sebm1to1h8][Running/Auto Start]
{??C:winntsystem32driverssebm1to1h8.sys}{N/A}
[n2bg5lo / n2bg5lo][Running/Boot Start]
{SystemRootSystem32DRIVERSn2bg5lo.sys}{N/A}
7、下载360安全卫士或Windows流氓清理助手,清理已经释放的流氓程序。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!