基本介紹
- 中文名:七月終結者病毒
- 外文名:Worm.Win32.Autorun.smn
- 作用:破壞系統的一些功能
- 傳播途徑:掛馬網站、隨身碟
簡介,檔案功能,
簡介
1、病毒運行後首先會將自身屬性設定為“系統,隱藏”,並判斷當前同目錄下是否存在autorun.inf檔案,如果存在則打開當前病毒所在的盤符。如果不存在autorun.inf檔案,則設定該病毒本體在重啟計算機後刪除。創建一個名為“MYLASTONE”的互斥量,保證系統只有一個實例運行。
2、查找是否有ekrn.exe進程,如果有則執行如下指令
cmd /c sc delete ekrn
cmd /c taskkill /im ekrn.exe /f
cmd /c taskkill /im egui.exe /f
查找是否有nod32krn.exe進程,如果有則執行如下指令
cmd /c sc delete nod32krn
cmd /c taskkill /im nod32krn.exe /f
cmd /c taskkill /im nod32gui.exe /f
3、創建多個執行緒執行不同操作
執行緒2:檢查%windir%\system32\dllcache\linkinfo.dll是否存在,如果不存在則將%windir%\system32\linkinfo.dll複製到%windir%\system32\dllcache\linkinfo.dll
執行緒3:每隔30秒查找是否有360tray.exe這個進程,如果有則釋放\\Fonts\\safeme.sys和\\Fonts\\safeg.sys這兩個驅動。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的進程,得到它們的pid,並傳給\\Fonts\\safeme.sys這個驅動,該驅動調用MmUnmapViewOfSection函式釋放掉這些進程的記憶體,使他們退出。載入\\Fonts\\safeg.sys這個驅動,並直接向該驅動發IRP刪除C:\Program Files\360safe\safemon\360Tray.exe,D:\Program Files\360safe\safemon\360tray.exe,E:\Program Files\360safe\safemon\360tray.exe。
執行緒4:對avp.exe實行IFEO映像劫持,指向ntsd.exe;釋放驅動\\fonts\\dansl.sys,該驅動為機器狗類驅動,直接在系統底層替換掉%windir%\system32\linkinfo.dll
執行緒5:每隔30秒,向所有分區的根目錄下釋放autorun.inf和RGER.PIF。
檔案功能
停止如下服務:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Servi
Symantec AntiVirus
norton AntiVirus server
DefWatch
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
McAfee Framework 服務
Norton AntiVirus Server
操作SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall使得顯示隱藏檔案不可用
刪除SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的360Safetray,360Safebox,360Safebox,vptray,ccApp相關鍵值。
刪除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal和
SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式
查找avp.exe,找到後,遍歷並卸載kavbase.kdl和webav.kdl這兩個模組。
下載病毒和其他木馬程式。