wzhao0411 - 2009-8-7 11:49:00
1. 病毒(juovibw.exe、btutjwt.exe)分析报告
来源:深圳网盾信息安全 时间:2007-11-18
在当今的网络环境下,病毒简直无处不在。和病毒做斗争,成了我们网络生涯的头等大事。古兵法云:知己知彼,百战不殆。下面就让网盾的防病毒工程师为您展现一份完整的病毒分析报告吧!
一、 概述
该病毒一共两个文件,每个文件两个拷贝,共六个文件五个名字(有两个文件同名),藏身在三个地方:每个分区的根目录下、C:\Program Files\Common Files\Microsoft Shared目录下和C:\Program Files\Common Files\System\目录下。
该病毒具有自动防御功能,禁止360safe等病毒检测工具的运行。包括最新病毒软件都没法检测,现目前还没有针对此类型的病毒专杀工具。
该病毒本身并不具破坏功能,它只是充当一个中介。计算机感染该病毒后,将自动开放3029、3039端口,一旦连接到互联网,将大量地下载木马。其后果是,用户资料被盗,机器中毒越来越深。导致机器所有的文件无法打开,耗尽大量的CPU。内存,死机。
该病毒主要依靠U盘等移动设备来传播。
二、 病毒入侵过程
1、 释放文件autorun.inf、rhrejgq.exe到每个分区的根目录下(包括可写的移动设备),人们双击任一盘符,都将运行病毒。而感染了这两个文件的移动设备一旦接入计算机,其“自动播放”功能将导致病毒立即发作。
2、 autorun.inf自我复制两份,均取名为bdjbeku.inf;rhrejgq.exe自我复制两份,取名为juovibw.exe、btutjwt.exe。
3、 一份bdjbeku.inf与juovibw.exe一起,进驻C:\Program Files\Common Files\Microsoft Shared目录;一份bdjbeku.inf与btutjwt.exe一起,进驻C:\Program Files\Common Files\System\目录。
服务保障客户价值– 深圳网盾信息安全
6/13 网盾安全周报 WDZB07-41
4、 在注册表启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加两个键值rhrejgq、bdjbeku,分别指向C:\Program Files\Common Files\Microsoft Shared\juovibw.exe、C:\Program Files\Common Files\System\btutjwt.exe。
5、 人们一旦打开Word、Excel、记事本等常用的文本编辑工具,将调用juovibw.exe开放UDP端口3029(中毒的机器重启之后将自动调用juovibw.exe开放UDP端口3039),下载木马的准备工作就做好了。一旦计算机连接上互联网,那么,下载木马的工作就开始了,病毒制作者也达到了他的最终目的。
三、 清除该病毒的步骤
1、 在“管理工具 – 本地安全策略 – IP安全策略,在本地计算机”里面创建一条新的“IP安全策略”,将基于UDP协议的3029、3039端口关闭。
2、 删除文件autorun.inf、rhrejgq.exe、bdjbeku.inf、juovibw.exe、btutjwt.exe,这里可以借用相应的文件删除工具,如XDelBox.exe。
3、 删除注册表健值rhrejgq、bdjbeku。
4、 至此,病毒体已经被清除干净了,重装360safe,将机器全面扫描一遍,清除木马程序。
本人电脑上多次出来这种病毒,尝试了各种办法,最后的结果都是重新安排系统。。上面的资料在网上找的,没有试过,因为不知道怎么把端口关闭。有哪位朋友知道请留言。。LZ在此真诚的谢过。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; MAXTHON 2.0)
sinoer - 2009-8-7 12:44:00
开启u盘病毒拦截及免疫,正常来说,autorun病毒可以直接用杀毒软件枪毙的
wzhao0411 - 2009-8-7 17:38:00
根本杀不掉。该病毒具有自动防御功能,禁止360safe等病毒检测工具的运行。。
测试过好几种杀毒软件,根本没办法打开。
sinoer - 2009-8-8 9:52:00
这属于劫持行为,用卡卡清理应用程序劫持项后就可以使用杀毒软件了,如果卡卡也无法运行,可以更改卡卡的程序名后再运行进行清理即可
wzhao0411 - 2009-8-8 11:27:00
在“管理工具 – 本地安全策略 – IP安全策略,在本地计算机”里面创建一条新的“IP安全策略”,将基于UDP协议的3029、3039端口关闭。
这一步骤怎么做。。我不会操作。请教了。。。
sinoer - 2009-8-8 12:22:00
控制面板-管理工具 – 本地安全策略 – IP安全策略,后面的按说明操作
wzhao0411 - 2009-8-9 21:12:00
试过了,但是感觉不对。。
小菜鸟55 - 2009-8-10 15:39:00
猫叔的东西用过吗
networkedition - 2009-8-10 16:54:00
来源:深圳网盾信息安全 时间:2007-11-18
杀毒软件应该可以查杀了吧,07年的病毒:kaka2: 样本呢,跟帖将样本打包发送上来。
wzhao0411 - 2009-8-11 23:06:00
杀毒软件不能查杀,在C盘感染病毒后杀毒软件根本打不开。而且病毒会自动复制到其它几个盘。现要没样本,都给删了。
DoctorLc - 2009-8-17 11:48:00
有样本吗?
© 2000 - 2025 Rising Corp. Ltd.