作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2007/06/17 (转载请保留此申明)
今天在一个QQ群里发现了一个名为1500明星QQ号的文件
据说是个敲诈者 还没玩过类似的病毒 于是就试了一下
下面是分析报告
File: 1500位明星QQ号码大揭密.exe
Size: 397680 bytes
MD5: A8D6CC7B661482C5BE38C38B19156B43
SHA1: 3716A78EE38506D2555333DCE99BA052325A60CE
CRC32: 17172624
病毒运行后
生成C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\桌面\告诫.h
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面添加启动项目svchost.exe指向
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
修改txt文件关联
指向C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
以自身替换C:\WINDOWS\system32\dllcache\taskmgr.exe和
C:\WINDOWS\system32\taskmgr.exe 使得任务管理器不可用
删除键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
完全破坏隐藏文件的显示
增加键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose: 0x00000001
开始菜单无法显示 关闭计算机
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff: 0x00000001
开始菜单无法显示 注销
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun: 0x00000001
开始菜单无法显示 运行
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind: 0x00000001
开始菜单无法显示 搜索
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
使得无法显示 文件夹选项
弹出对话框 “发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件”点击确定 或者关闭 都将立即注销系统
遍历D~Z盘以及C:\Program files\Tencent 删除其下所有文件
将C:\WINDOWS\srchasst\mui\0804文件夹复制出来重命名为0805 使得搜索功能失效
解决方法:
1.下载冰刃
运行后 切换到 查看 进程 结束win1ogon.exe和svchost.com进程
2.打开 我的电脑 进入C:\Windows运行regedit.exe 展开
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 分别删除如下键
NoClose
StartMenuLogOff
NoRun
NoFind
3.此时 开始菜单中的运行 就出来了
点击 开始 运行 输入gpedit.msc
展开 用户配置 管理模版 Windows组件 Windows资源管理器 找到 从工具菜单删除“文件夹选项” 双击 把其状态改成 已禁用 确定
4.把下面文字拷入记事本
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
重命名为1.reg双击导入注册表
5.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
6.打开sreng 启动项目
启动项目 注册表 删除
<svchost.exe><C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe> []
启动文件夹
删除[svchost]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com --> [N/A]><N>
系统修复
文件关联 修复txt文件关联
7.从其他电脑拷贝一个taskmgr.exe到C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
8.使用easyrecovery等软件 恢复被删除的文件
