发表于: 2005-12-21 20:47 | 显示全部 短消息 资料
字号: 1楼

【转贴】紧急 新病毒出现!

某综合论坛今天截获一新病毒。
具体病毒名还找不到,我们现在已在确认是一个木马程序,相关的程序我已提交给瑞星,江民等公司,希望相关公司尽快处理!
相关病毒分析:
相关分析:
该程序在C:\windows(WINNT)释放二份系统隐藏文件,不打开系统隐藏属性是看不到的! 
主程序:lasae.exe
支持文件:lasae.DLL 俴
在病毒运行时,他们在系统目录(windows/WINNT)下释放一份支持文件,文件名为:lasae_HOOK.dll,向系统注册成为一个server3.0的系统服务进程,
并向注册表添加下列的注册表项:鈅
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Server]
"Type"=dword:00000110
"Start"=dword:00000002 鏈
"ErrorControl"=dword:00000000  鱱癤
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
  5c,00,6c,00,61,00,73,00,61,00,65,00,2e,00,65,00,78,00,65,00,00,00
(这个表项的十进制是C:\windows\lasae.exe) 雼
"DisplayName"="Server3.0"
"ObjectName"="LocalSystem"
"Description"="管理."
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Server]
"Type"=dword:00000110 
"Start"=dword:00000002 蝟飼
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\    
  5c,00,6c,00,61,00,73,00,61,00,65,00,2e,00,65,00,78,00,65,00,00,00
(这个表项的十进制是C:\windows\lasae.exe)
"DisplayName"="Server3.0"  虆
"ObjectName"="LocalSystem"
"Description"="管理."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Server] 禑
"Type"=dword:00000110
"Start"=dword:00000002 
"ErrorControl"=dword:00000000 琗
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
  5c,00,6c,00,61,00,73,00,61,00,65,00,2e,00,65,00,78,00,65,00,00,00 趓
(这个表项的十进制是C:\windows\lasae.exe)
"DisplayName"="Server3.0"
"ObjectName"="LocalSystem"
"Description"="管理." 峵
目前,瑞星的18.06.10可以查到该病毒运行后释放出来的lasae_HOOK.dll,但是不能删除病毒,根据我们分析,这个病毒已经让很多计算机用户中毒了!!!
根据我们了解,这个病毒一般是通过BT下载软件或影视所带,所以,请注意,在下载相关程序时,注册用RAR查看一下,看看是不是压缩文件,如果是,先用程序解压了再进行操作!!

病毒处理方案
先运行services.msc,对相关的系统服务进程进行禁止处理!然后重启计算机! 
然后到C盘WINDOWS(WINNT)下,打开文件夹选项——查看,关闭隐藏受保护系统文件,,然后查找lasae.*,将所有查到的文件删除! 襅箹
接下来运行regedit,打开注册表编辑器,找到 嬾
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Server ,
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Server 晘
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Server

ImagePath  
DisplayName 
ObjectName
Description
这四项删除
这四项删除,再重启计算机,用杀毒软件再查杀一次C盘,就可以了!!!
根据我们对最新的瑞星、江民和卡巴的病毒库进行分析,还不能查杀该病毒,因为是一个变种,也因为病毒我今天中午才提交上去,相信还需要一定的时间进行处理,希望引起注意,如发现有这样的情况,请尽早处理,如果处理不了,请与我们联系!!!我们提供查杀帮助!


繿
最后编辑2005-12-21 21:27:10