一些流行难缠的病毒的清除和防御方法
0
2011/03/28 
22:04 
35536
最近单位的电脑被“1KB文件夹快捷方式”病毒搞的鸡犬不宁,好几台电脑被感染,昨天领导找我去看,比较厉害,所有的文件都被隐藏了,当时无工具无法处理,今天才全部搞定,下面把自己从网上收集的资料贴出来,希望可以帮到受此病毒危害的网友。
这病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
这病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
病毒名称:“机器狗”新变种Trojan-Downloader.Win32.Small.adgo
病毒症状:该样本是使用“VC”编写的木马下载器,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“28,672 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载病毒并运行。用户中毒后,会出现系统运行缓慢、网络速度降低、出现大量未知进程、部分杀毒软件无法运行等现象。
感染对象:Windows 2000/Windows XP/Windows 2003
传播途径:网页木马、文件捆绑、下载器下载
病毒分析:
(1)创建名为"ffgio"的互斥体,防止重复运行。
(2)获取当前进程快照,查找进程egui.exe、ekrn.exe是否存在,如果找到,终止其进程,并删除服务。
(3) 继续查找进程avp.exe、safeboxtray.exe、360tray.exe进程是否存在,如果找到,创建线程,释放动态链接库%TEMP%\~34683.kx(文件名随机生成),通过调用%SystemRoot%\system32\rundll32.exe加载该动态链接库,加载之后,创建名为"aav"的服务,通过该服务将杀软进程终止,并删除服务。并且对其作镜像劫持,病毒会不断枚举当前窗口,一旦找到与反病毒相关的窗口,就将其退出。
(4)释放驱动文件%TEMP%\~96753.ex(文件名随机生成),并释放同名病毒程序%TEMP%\~96753.exe,创建注册表,实现病毒开机自启动。
(5)释放文件%SystemRoot%\System32\td0RZ.exe,提升自身进程权限,并创建名为"vb"的服务,加载驱动%TEMP%\~96753.ex。通过该驱动将病毒代码写入%SystemRoot%\System32\userinit.exe,完成感染userinit.exe。
(6)创建名为"ao1"的设备,并执行%SystemRoot%\System32\td0RZ.exe,通过控制该设备与程序td0RZ.exe进行通信。
(7)运行%SystemRoot%\System32\td0RZ.exe之后,病毒比较自身是否为userinit.exe,如果是,则继续执行,如果不是,则创建互斥体,并创建新线程,获得当前进程列表,查找进程"qq.exe"和"cmd.exe"是否存在,如果找到进程"qq.exe",则收集该进程对应程序的使用相关信息,连同被感染机器的Mac地址一起发送到病毒指定网址,如果找到进程"cmd.exe",则终止该进程。
病毒症状:该样本是使用“VC”编写的木马下载器,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“28,672 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载病毒并运行。用户中毒后,会出现系统运行缓慢、网络速度降低、出现大量未知进程、部分杀毒软件无法运行等现象。
感染对象:Windows 2000/Windows XP/Windows 2003
传播途径:网页木马、文件捆绑、下载器下载
病毒分析:
(1)创建名为"ffgio"的互斥体,防止重复运行。
(2)获取当前进程快照,查找进程egui.exe、ekrn.exe是否存在,如果找到,终止其进程,并删除服务。
(3) 继续查找进程avp.exe、safeboxtray.exe、360tray.exe进程是否存在,如果找到,创建线程,释放动态链接库%TEMP%\~34683.kx(文件名随机生成),通过调用%SystemRoot%\system32\rundll32.exe加载该动态链接库,加载之后,创建名为"aav"的服务,通过该服务将杀软进程终止,并删除服务。并且对其作镜像劫持,病毒会不断枚举当前窗口,一旦找到与反病毒相关的窗口,就将其退出。
(4)释放驱动文件%TEMP%\~96753.ex(文件名随机生成),并释放同名病毒程序%TEMP%\~96753.exe,创建注册表,实现病毒开机自启动。
(5)释放文件%SystemRoot%\System32\td0RZ.exe,提升自身进程权限,并创建名为"vb"的服务,加载驱动%TEMP%\~96753.ex。通过该驱动将病毒代码写入%SystemRoot%\System32\userinit.exe,完成感染userinit.exe。
(6)创建名为"ao1"的设备,并执行%SystemRoot%\System32\td0RZ.exe,通过控制该设备与程序td0RZ.exe进行通信。
(7)运行%SystemRoot%\System32\td0RZ.exe之后,病毒比较自身是否为userinit.exe,如果是,则继续执行,如果不是,则创建互斥体,并创建新线程,获得当前进程列表,查找进程"qq.exe"和"cmd.exe"是否存在,如果找到进程"qq.exe",则收集该进程对应程序的使用相关信息,连同被感染机器的Mac地址一起发送到病毒指定网址,如果找到进程"cmd.exe",则终止该进程。
目前,恶意程序Trojan-Dropper.Win32.VB.jen正在广泛传播,该病毒运行后在各盘中都会创建一个autorun.inf文件,导致各盘双击或右键均无法打开,隐藏用户原有的文件夹并创建以用户原有文件夹名命名,图标为文件夹图标的.exe文件,篡改首页为http://www.redtube.com,并修改IE窗口标题为反腐字眼(STOP CORRUPTION!!!)。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.VB.jen
病毒别名:反腐蠕虫
感染平台:Windows
病毒大小:206336 bytes
S H A 1 :f57aae6c1fbcf52be41333633fc00d2e625e31f1
加壳类型:UPX V2.00-V3.00
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、在各盘下创建autorun.inf,导致各盘均无法使用双击或右键打开。
2、生成以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.VB.jen
病毒别名:反腐蠕虫
感染平台:Windows
病毒大小:206336 bytes
S H A 1 :f57aae6c1fbcf52be41333633fc00d2e625e31f1
加壳类型:UPX V2.00-V3.00
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、在各盘下创建autorun.inf,导致各盘均无法使用双击或右键打开。
2、生成以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
认识USP10.dll:
USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字从输入次序重排成为显示次序
2.把文字按前文后理作出适当的变换
3.按文字显示的方向作出字元的替换
虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
总结一下:
DLL文件:usp10或者usp10.dll
DLL名称:Uniscribe Unicode script processor
描述:usp10.dll是字符显示脚本应用程序接口相关文件。
属于:Uniscribe
系统 DLL文件:是
常见错误:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字从输入次序重排成为显示次序
2.把文字按前文后理作出适当的变换
3.按文字显示的方向作出字元的替换
虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
总结一下:
DLL文件:usp10或者usp10.dll
DLL名称:Uniscribe Unicode script processor
描述:usp10.dll是字符显示脚本应用程序接口相关文件。
属于:Uniscribe
系统 DLL文件:是
常见错误:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
这是一个结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行,并且预计该病毒在近期会成泛滥之势,希望大家注意!
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
