Worm.Win32.AutoRun.bqn病毒分析解决

    一、病毒相关分析: 
          病毒标签:
            病毒名称:Worm.Win32.AutoRun.bqn 
            病毒类型:蠕虫
            危害级别:2
            感染平台:Windows
            病毒大小:21,504(字节)
            SHA1  :01015B9F9231018A58A3CA1B5B6A27C269F807E6
            加壳类型:PECompact V2.X-> Bitsum Technologies
            开发工具:Microsoft Visual Basic 5.0 / 6.0

         病毒行为:
            1、程序运行后,释放副本

          %SystemRoot%\EXPL0RER.EXE

         %SystemRoot%\autorun.inf

         autorun.inf内容:

     
    Quote:
    [autorun]
    open=EXPL0RER.EXE
    shell\open=打开(&O)
    shell\open\Command=EXPL0RER.EXE
    shell\open\Default=1
    shell\explore=资源管理器(&X)
    shell\explore\Command=EXPL0RER.EXE 

    根据文件夹名来感染生成 对应的 目录名.exe
    然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
    你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
    篡改注册表,不显示隐藏文件、系统文件和扩展名。

    注册表主要变化:

    修改值:65 

    Quote:
    新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1”
    旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: “”C:\WINDOWS\hh.exe” %1″

    新 HKLM\SOFTWARE\Classes\Directory\shell\: “open”
    旧 HKLM\SOFTWARE\Classes\Directory\shell\: “none”

    新 HKLM\SOFTWARE\Classes\Drive\shell\: “open”
    旧 HKLM\SOFTWARE\Classes\Drive\shell\: “none”

    新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: “C:\WINDOWS\EXPL0RER.EXE %1”
    旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: “regedit.exe “%1″”

    新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
    旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

    新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
    旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

     


      二、解决方案

      下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。


      1.SREng修复文件关联   系统修复--文件关联--全选--自动修复

      2.修复磁盘打开方式、文件夹打开方式


    Quote:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
    @=”none”

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
    @=”none”

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]

    3.显示系统文件、隐藏文件、显示隐藏文件夹


    Quote:

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    “Hidden”=dword:00000001
    “HideFileExt”=dword:00000000
    “ShowSuperHidden”=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    “RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
    “CheckedValue”=dword:00000002
    “ValueName”=”Hidden”
    “DefaultValue”=dword:00000002

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    “RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
    “CheckedValue”=dword:00000001
    “ValueName”=”Hidden”
    “DefaultValue”=dword:00000002

    杀毒软件全盘扫描

    使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性

发表评论

发表评论