bsmain.exe 瑞星仇恨者查杀方法

     

    病毒具体分析如下:

    Quote:
    File: bsmain.exe
    Size: 131072 bytes
    File Version: 20.00
    Modified: 2008年3月7日, 22:18:04
    MD5: 1EFE96D8D20513351DB5C1681D7BBAFE
    SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D


    1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。

    2.释放如下文件或者副本:
    C:\Windows\system32\bsmain.exe(病毒文件)
    不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。

    3.在注册表中添加如下启动项目

    Quote:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
      [Beijing Rising Technology Co., Ltd.]
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
          [Beijing Rising Technology Co., Ltd.]


    以此达到开机启动自身的目的

    4.添加映像劫持项目劫持如下常见杀毒软件

    Quote:
    360Safe.exe
    360tray.exe
    adam.exe
    AgentSvr.exe
    AppSvc32.exe
    ArSwp.exe
    AST.exe
    autoruns.exe
    avconsol.exe
    avgrssvc.exe
    AvMonitor.exe
    avp.com
    avp.exe
    ccSvcHst.exe
    ceSword.exe
    EGHOST.exe
    FileDsty.exe
    FTCleanerShell.exe
    FYFireWall.exe
    HijackThis.exe
    IceSword.exe
    iparmo.exe
    Iparmor.exe
    isPwdSvc.exe
    kabaload.exe
    KaScrScn.SCR
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPF.exe
    KAVPFW.exe
    KAVSetup.exe
    KAVStart.exe
    KISLnchr.exe
    KMailMon.exe
    KMFilter.exe
    KPFW32.exe
    KPFW32X.exe
    KPfwSvc.exe
    KRegEx.exe
    KRepair.com
    KsLoader.exe
    KVCenter.kxp
    KvDetect.exe
    KvfwMcl.exe
    KVMonXP.kxp
    KVMonXP_1.kxp
    kvol.exe
    kvolself.exe
    KvReport.kxp
    KVScan.kxp
    KVSrvXP.exe
    KVStub.kxp
    kvupload.exe
    kvwsc.exe
    KvXP.kxp
    KvXP_1.kxp
    KWatch.exe
    KWatch9x.exe
    KWatchX.exe
    loaddll.exe
    MagicSet.exe
    mcconsol.exe
    mmqczj.exe
    mmsk.exe
    Navapsvc.exe
    Navapw32.exe
    nod32.exe
    nod32krn.exe
    nod32kui.exe
    NPFMntor.exe
    PFW.exe
    PFWLiveUpdate.exe
    QHSET.exe
    QQDoctor.exe
    QQKav.exe
    Ras.exe
    RsAgent.exe
    Rsaupd.exe
    rstrui.exe
    runiep.exe
    safelive.exe
    shcfg32.exe
    SmartUp.exe
    SREng.EXE
    symlcsvc.exe
    SysSafe.exe
    TrojanDetector.exe
    Trojanwall.exe
    TrojDie.kxp
    UIHost.exe
    UmxAgent.exe
    UmxAttachment.exe
    UmxCfg.exe
    UmxFwHlp.exe
    UmxPol.exe
    upiea.exe
    UpLive.exe
    USBCleaner.exe
    vsstat.exe
    webscanx.exe
    WoptiClean.exe

    劫持到C:\Windows\system32\bsmain.exe


    5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样…

    6.修改txt文件关联指向C:\Windows\system32\bsmain.exe


    解决办法:

    下载sreng:

    1.打开sreng,启动项目  注册表 删除如下项目 
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
      [Beijing Rising Technology Co., Ltd.]

    把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
    shell值改为explorer.exe

    并删除所有红色的IFEO项目

    系统修复-文件关联 点击修复 

    2.双击我的电脑,工具,文件夹选项,查看,单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件(推荐)”前面的钩。在提示确定更改时,单击“是” 然后确定
    删除C:\WINDOWS\system32\bsmain.exe

    3.对于被覆盖感染的exe文件,就只能全部删除了…默哀吧…

发表评论

发表评论