最近很多人都中了U盘病毒 sxs.exe,我在最近写了一篇Worm.Pabug.ao的分析(http://forum.ikaka.com/topic.asp?board=28&artid=8208573) 这只是sxs.exe的一个变种,并且最近变种逐渐增多,而且病毒的作案手段愈加恶劣,下面我在原贴的基础上总结一下此类病毒的通用查杀方法。
病毒分析
一、生成物:
病毒运行后,一般生成如下几个文件
C:\WINDOWS\system32\xxxxxx.exe
C:\WINDOWS\system32\xxxxxx.dll
C:\WINDOWS\system32\QQhx.dat
在每个磁盘分区下生成autorun.inf 和sxs.exe文件
其中sxs.exe和上面的C:\WINDOWS\system32\xxxxxx.exe都是柯南的头像
注意 其中xxxxxx.exe为随机的名称,不过一般是六个字母,我见过的如jvmlts.exe,ybcatc.exe等。下面那个xxxxxx.dll与上面那个xxxxxx.exe同名 如jvmlts.dll,ybcatc.dll
二、注册表行为:
2.1一般在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加自启动项
C:\WINDOWS\system32\xxxxxx.exe
如上面的例子 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下面添加C:\WINDOWS\system32\ybcatc.exe
2.2修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的键值为"0
达到系统显示不了隐藏文件的目的
三、其他行为
结束杀毒软件及一些常用辅助杀毒工具的运行
经过对一个病毒变种的反汇编,我发现该病毒会结束带有如下文字的窗口:毒霸,瑞星,江民,木马。
结束常见杀毒软件 如卡巴斯基 江民 瑞星 金山的进程 并且删除他们的服务
病毒处理:
1.下载Icesword 1.20和 sreng
地址http://www.crsky.com/soft/6947.html
http://www.kztechs.com/sreng/sreng2.zip
2.确定可疑的病毒文件 C:\WINDOWS\system32\xxxxxx.exe
有两种方法推荐给大家 一是 用sreng扫描系统 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面查找6个字母的 项目
比如下面的例子
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<kav><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"> [Kaspersky Lab]
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [N/A]
<dhcvyx><C:\WINDOWS\system32\ybcatc.exe> [N/A]
里面的 <dhcvyx><C:\WINDOWS\system32\ybcatc.exe>则是病毒
然后即可推断 还应该存在一个C:\WINDOWS\system32\ybcatc.dll
二是 开始 运行 输入msconfig 启动选项卡 然后在里面找路经文件名为6位字母的启动项
3.打开Icesword.exe-进程 找到xxxxxx.exe 右键结束他 (xxxxxx.exe就是你刚才找到的那个六位字母的文件)
4.点击Icesword左下角的文件 找到C:\WINDOWS\system32\xxxxxx.exe
C:\WINDOWS\system32\QQhx.dat
右键删除掉他们
5.打开sreng 启动项目 注册表
删除 C:\WINDOWS\system32\xxxxxx.exe这个项目
6.把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
此时隐藏文件就可以显示了
7.重启计算机
8.双击我的电脑 工具 文件夹选项
查看 选中显示所有文件和文件夹 并且把隐藏受保护的操作系统文件的钩和隐藏文件的扩展名的钩挑下去 然后确定
右击打开C盘
找到C:\WINDOWS\system32\xxxxxx.dll删除掉
9.
右击打开其他磁盘分区删除 每个分区根目录下的 sxs.exe和autorun.inf文件 注意一定不要双击打开 否则病毒又会被激活!
另:
建议大家禁用 windows 的自动播放功能 方法是在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
另外插入U盘等可移动存储设备后 一定不要双击 要用右键打开
有条件的话最好右键用最新的反病毒软件扫描一遍
这样可以最大限度的减少被类似U 盘病毒 感染的机会