★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

文件夹图标病毒的分析及其解决方法

[复制链接]
发表于 2010-11-17 14:55:59 | 显示全部楼层 |阅读模式
U盘VBS蠕虫BoyFine Worm-Script.VBS.Autorun.bc分析

综述:病毒作者自己取的病毒名叫boyfine,Worm-Script.VBS.Autorun.bc采用瑞星的命名方式。这是一个通过U盘传播的VBS蠕虫病毒,VBS脚本作了加密处理,运行后系统就被改的面目全非了,多个可执行文件关联被定向到病毒副本,病毒副本执行自身后通过传过来的相应的参数再来调用正常的程序,表面上看没有什么现象其实病毒一直在执行。通用调用WMI,对进程进行监测如果含有下列进程时 "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr","regedit.pif", "regedit.com","taskmgr.exe" , "msconfig.exe立即调用KillProcess函数将其终止。病毒副本主体名称会根据系统盘的序列号生成一个10位数的随机名称。在各盘根目录创建Autorun.inf与VBS病毒副本,另外根据根目录文件夹名创建相应的lnk文件,同时隐藏正常的文件夹,由于病毒会删除lnkfile的isShortCut属性,所以这些lnk文件不会显示快捷方式所有的小箭头标志,以便更好的伪装自己。
此外病毒还会有弹出光驱等恶作剧行为。

具体分析:(X:为各盘盘符,以Windows Xp Sp3 系统盘C盘为例)
建立档案L
C:\WINDOWS\system32\(随机).vbs
C:\WINDOWS\(随机).vbs
复制C:\WINDOWS\system32\wscript.exe 到 C:\WINDOWS\system\svchost.exe,并不断执行
C:\WINDOWS\system32\BFAlert.hta
内容为:
  1. <HTML><HEAD><TITLE>nuke</TITLE>
  2.        HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize"" border=""none""
  3. SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no"" selection=""no"">
  4. </HEAD><BODY bgcolor=#000000><DIV align =""center"">
  5. <font style=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR>
  6. <font style=""font-size:200%;font-family:黑体;color=red"">nuke </font>
  7. <DIV></BODY></HTML>
复制代码

X:\autorun.inf
X:\(随机).vbs
X:\FolderName.lnk(FolderName根据各盘根目录相应文件夹名形成,例如RECYCLER.lnk 实际指向是J:\2010368531.vbs "J:\RECYCLER\Dir")

修改下列文件的关联:
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\cmdfile\shell\open\command
HKEY_CLASSES_ROOT\chmfile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\open\command
HKEY_CLASSES_ROOT\inifile\shell\open\command
HKEY_CLASSES_ROOT\inffile\shell\open\command
HKEY_CLASSES_ROOT\hlpfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command

修改类如"我的电脑"等的打开关联:
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" EMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE

添加自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\871123686.vbs"

破坏正常的隐藏文件显示与后缀显示

HKEY_CLASSES_ROOT\lnkfile
IsShortCut子项被删除,以便伪装

调用CMD /C CACLS ,CMD /C RD /S /Q等命令破环autorun.inf文件夹免疫文件。

病毒处理建议:
手动删除比较麻烦会导致病毒重复感染,建议下载USBCleanerV6.0Build20091001版或者FolderCureV4.7处理并修复系统的错误。
(注:以上转摘自 幸福毛毛虫 的博客文章,链接为 http://blog.sina.com.cn/s/blog_49f921b50100fhjr.html

以下的附件为FolderCure4.8版,如果仅仅是针对boyfine,Worm-Script.VBS.Autorun.bc等文件夹图标病毒,可直接用该专杀工具来处理。
如需处理更多的U盘病毒,请访问以上两个工具软件开发者的主页来下载USBCleaner http://www.usbcleaner.net/index1.htm
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-24 00:54 , Processed in 0.079035 second(s), 22 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表