|
本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:
该病毒写入如下启动项:
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup]
[Local Group Policy][c:\windows\cursors\boom.vbs]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[][C:\WINDOWS\system32\dllcache\Default.exe]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[][C:\WINDOWS\system\KEYBOARD.exe]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[][C:\WINDOWS\system32\dllcache\Default.exe]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[sys][C:\WINDOWS\Fonts\Fonts.exe]
[HKEY_CURRENT_USER\Control Panel\Desktop]
[SCRNSAVE.EXE][C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com] |
修改REG文件关联到: %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行:
释放主要文件如下:
%systemroot%\cursors\boom.vbs
%systemroot%\system\keyboard.exe
%systemroot%\system32\dllcache\default.exe
%systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe
%systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif
%systemroot%\pchealth\helpctr\binaries\helphost.com
%systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe
%systemroot%\system32\dllcache\autorun.inf
%systemroot%\system32\dllcache\system.exe
%systemroot%\system32\dllcache\svchost.exe
%systemroot%\system32\dllcache\Global.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe |
各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:
由于病毒通过多种方式启动自身、手动处理步骤对于一般用户来说较为复杂。该病毒通过金山毒霸2008的病毒库升级可以处理。 
OVER
|
