瓢蟲病毒

2007年12月18日,金山毒霸全球反病毒監測中心發布聖誕期間緊急病毒預警,行為極度惡劣的“瓢蟲”病毒新變種(Win32.Troj.Downloader.vb.237568)預計在聖誕節前後大面積發作,感染電腦內將爬滿“瓢蟲”,廣大用戶需高度警惕。金山毒霸反病毒專家戴光劍表示,“瓢蟲病毒集熊貓燒香、AV終結者等年內重大病毒破壞性於一身,雖然目前病毒本身還有些缺陷,但隨著新變種的不斷出現,其破壞程度不容小覷。”

基本介紹

  • 中文名:瓢蟲病毒
  • File:SDGames.exe
  • Size:59282bytes
  • FileVersion:3.02
病毒介紹,症狀,病毒分析和刪除,解決辦法,預防,病毒信息,病毒行為,

病毒介紹

12月18日,金山毒霸全球反病毒監測中心發布聖誕期間緊急病毒預警,行為極度惡劣的“瓢蟲”病毒新變種(Win32.Troj.Downloader.vb.237568)預計在聖誕節前後大面積發作,感染電腦內將爬滿“瓢蟲”,廣大用戶需高度警惕。
瓢蟲病毒
金山毒霸反病毒專家戴光劍表示,“瓢蟲病毒集熊貓燒香、AV終結者等年內重大病毒破壞性於一身,雖然目前病毒本身還有些缺陷,但隨著新變種的不斷出現,其破壞程度不容小覷。”
據了解,“瓢蟲”病毒與熊貓燒香類似,感染性極強,用戶電腦一旦感染該病毒,除系統盤,被感染後的exe檔案圖示將變成綠色的“小瓢蟲”;同時,用戶電腦內的瀏覽器任務管理器資料夾選項系統時間等項目都將遭受破壞。戴光劍指出,這是一個感染性極強的病毒,病毒運行後,用戶電腦將表現出五大“中毒”症狀:
1、電腦運行速度立刻變慢,防毒軟體無法正常使用;
2 、 系統時間被修改為2030年,使依賴系統時間的軟體全部失效;
3、瀏覽器首頁被篡改。當用戶打開瀏覽器,會發現首頁被修改為一個偽裝的“百度”,由於該網址同樣具有正常的搜尋功能,所以極具容易迷惑性;
4、“任務管理器”和“資料夾選項”遭禁止。如果用戶想使用“任務管理器”和“資料夾選項”來查看是誰在系統中搗鬼,會發現這兩個功能都被病毒禁止掉;而當用戶試圖打開註冊表時,會彈出一個對話框,提示“註冊表編輯已被管理員停用”;再仔細檢查,會發現連System32資料夾都不見了,病毒已經把自己隱藏得非常深;
5、硬碟軟碟機光碟機自動共享。用戶打開“我的電腦”時,可發現機器的硬碟以及軟碟機光碟機全部已經自動設定成共享狀態,並且這種共享還被病毒鎖死,無法改回正確的設定。這樣,只要有誰願意,都可以一覽無遺地瀏覽用戶電腦中的資料。
金山毒霸反病毒工程師分析指出,病毒潛入用戶電腦系統後,會在系統盤中釋放出6個病毒檔案,分別為%windows%\system32\目錄下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒還在全部磁碟的根目錄下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建資料夾.url等檔案。
根據瓢蟲病毒的傳播特點,金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2007年12月18的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以免費下載最新版金山毒霸2008或使用金山毒霸線上防毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816,反病毒專家將為您提供幫助。
年終歲末是病毒的高發期,金山毒霸反病毒工程師建議廣大用戶:1、最好安裝專業的防毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。2、由於玩網路遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,及時升級防毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

症狀

截殺"小瓢蟲"病毒
據了解,“瓢蟲”病毒與熊貓燒香類似,感染性極強,用戶電腦一旦感染該病毒,除系統盤,被感染後的exe檔案圖示將變成綠色的“小瓢蟲”;同時,用戶電腦內的瀏覽器任務管理器資料夾選項、系統時間等項目都將遭受破壞。戴光劍指出,這是一個感染性極強的病毒,病毒運行後,用戶電腦將表現出五大“中毒”症狀: 1、電腦運行速度立刻變慢,防毒軟體無法正常使用;
2、系統時間被修改為2030年,使依賴系統時間的軟體全部失效;
3、瀏覽器首頁被篡改。當用戶打開瀏覽器,會發現首頁被修改為一個偽裝的“百度”,由於該網址同樣具有正常的搜尋功能,所以極具容易迷惑性;
4、“任務管理器”和“資料夾選項”遭禁止。如果用戶想使用“任務管理器”和“資料夾選項”來查看是誰在系統中搗鬼,會發現這兩個功能都被病毒禁止掉;而當用戶試圖打開註冊表時,會彈出一個對話狂,提示“註冊表編輯已被管理員停用”;再仔細檢查,會發現連System32資料夾都不見了,病毒已經把自己隱藏得非常深;
5、硬碟軟碟機光碟機自動共享。用戶打開“我的電腦”時,可發現機器的硬碟以及軟碟機、光碟機全部已經自動設定成共享狀態,並且這種共享還被病毒鎖死,無法改回正確的設定。這樣,只要有誰願意,都可以一覽無遺地瀏覽用戶電腦中的資料。
瓢蟲病毒
金山毒霸反病毒工程師分析指出,病毒潛入用戶電腦系統後,會在系統盤中釋放出6個病毒檔案,分別為%windows%\system32\目錄下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒還在全部磁碟的根目錄下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建資料夾.url等檔案。
根據瓢蟲病毒的傳播特點,金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2007年12月18的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以免費下載最新版金山毒霸2008或使用金山毒霸線上防毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010—82331816,反病毒專家將為您提供幫助。
年終歲末是病毒的高發期,金山毒霸反病毒工程師建議廣大用戶:1、最好安裝專業的防毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。2、由於玩網路遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,及時升級防毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

病毒分析和刪除

主要表現
病毒樣本來自卡飯,病毒行為惡劣,主要表現為:
1.攻擊防毒軟體之後進行IFEO映像劫持
2.感染htm等網頁檔案
3.感染或覆蓋exe等執行檔
4.破壞安全模式
5.破壞顯示隱藏檔案 資料夾選項
6.修改系統時間並鎖定時間
7.可通過隨身碟等移動存儲傳播
8.關閉Windows防火牆等服務並打開許多危險服務,並使得用戶磁碟被共享
9.後台添加賬戶並設定管理員許可權
10.修改某些檔案關聯
下面為具體分析
Size: 59282 bytes
File Version: 3.02
Modified: 2007年12月6日, 17:56:32
MD5: FC334FFCF5AFF3CA8235705D61F62990
SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC
CRC32: 1DD096C2
1.病毒運行後,釋放如下檔案或副本
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
在每個磁碟分區釋放SDGames.exe和AUTORUN.INF 達到通過隨身碟傳播的目的(首先通過rd命令刪除 autorun.inf資料夾 使得某些通過此種方法免疫隨身碟病毒的方式失效)
並且在每個分區釋放Windows.url,新建資料夾.url,Recycleds.url指向該分區根目錄下的SDGames.exe
誘使用戶點擊
2.修改
reg和txt檔案關聯指向%systemroot%\system32\SDGames.exe
3.刪除
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破壞安全模式
4.創建自啟動項目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
5.破壞系統的一些功能
禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
破壞顯示隱藏檔案:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得檔案擴展名無法顯示:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用註冊表編輯器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主頁為:http://www.*.
修改IE默認頁為:wangma
隱藏檔案夾選項
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
6.關閉如下服務並將其啟動類型設為禁用
Alg
sharedaccess
wuauserv
7.開啟下列服務並將其啟動類型設為自動
Terminal Services
winmgmt
lanmanserver
8.%systemroot%\system32\netshare.cmd將用戶的所有磁碟設為共享
9.添加一個名為guest的賬戶,
並將其設定為管理員許可權
10.攻擊反病毒軟體
,利用Avpser.cmd強制結束一些防毒軟體進程
RavMonD.exe
RavStub.exe
Anti*
AgentSvr*
CCenter*
Rsaupd*
SmartUp*
FileDsty*
RegClean*
360tray*
360safe*
kabaload*
safelive*
KASTask*
kpFW32*
kpFW32X*
KvXP_1*
KVMonXP_1*
KvReport*
KvXP*
KVMonXP*
nter*
TrojDie*
Trojan*
KvNative*
Virus*
Filewall*
Kaspersky*
JiangMin*
RavMonD*
RavStub*
RavTask*
adam*
cSet*
PFWliveUpdate*
mmqczj*
Trojanwall*
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising*
ikaka*
.duba*
kingsoft*
木馬*
社區*
aswBoot*
MainCon*
Regs*
AVP*
Task*
regedit*
Ras*
srgui*
norton*
avp*
fire*
spy*
bullguard*
PersFw*
KAV*
ZONEALARM*
SAFEWEB*
OUTPOST*
ESAFE*
clear*
BLACKICE*
360safe.exe
Shadowservice.exe
v3webnt.exe
v3sd32.exe
v3monsvc.exe
hkcmd.exe
DNTUS26.EXE
AhnSD.exe
CTFMON.EXE
MonsysNT.exe
WINAW32.EXE
PNTIOMON.exe
avgw.exe
PROmon.exe
PNTIOMON.exe
MagicSet.exe
MainCon.exe
TrCleaner.exe
修復*
保護*
11.映像劫持防毒軟體和一些常用工具
360rpt.exe
360Safe.exe
360tray.EXE
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
Knod32kui.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
註冊表註冊表
MainCon.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32krn.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQ.exe
Ras.exe
瓢蟲病毒瓢蟲病毒
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
Rsaupd.exe
runiep.exe
safelive.exe
金山毒霸金山毒霸
scan32.exe
Shadowservice.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
12.遍歷感染非系統分區的exe檔案(覆蓋方式)
13.遍歷感染非系統分區的jsp asp php htm html hta檔案
在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*." name="Myframe"
align="center" border="0">的代碼
14.修改系統時間的年份為2030年,並禁止用戶修改時間

解決辦法

下載sreng:http://download.files/sreng2.zip
Icesword:http://mail.~jfpan/download/IceSword122cn.zip
1.解壓縮Icesword
把Icesword改名為1.exe運行
進程中 找到SDGames.exe 右擊它 結束進程
然後點擊 Icesword左下角的 檔案 按鈕
找到如下檔案並刪除
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
以及各個分區下面的
SDGames.exe,AUTORUN.INF,Windows.url,新建資料夾.url,Recycleds.url
2.運行sreng
(由於時間已經被改為2030年 所以sreng會彈出過期提示,不用擔心,輸入下面的授權碼即可使用)
用戶名:teyqiu
授權號:2-6-1-2-9-0-2-7-5-4-1-1-8-5-4-3-1-4-0-9-0-1-3-5-5-6(去掉“-”就是了)
打開sreng後 點擊 系統修復-檔案關聯-修復
系統修復-Windows Shell/IE -全選-修復
高級修復-修復安全模式
3.還是sreng中
啟動項目 註冊表 刪除如下項目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
並刪除所有紅色的IFEO項目
啟動項目 System.ini
刪除Windows節點
4.取消磁碟共享
開始 運行 輸入cmd 輸入如下命令
net share c /delete
net share d /delete
...
以此類推 分別取消所有磁碟分區的共享
開始 運行 輸入cmd 輸入如下命令
attrib -h %systemroot%\system32
6.修復受感染的htm等網頁檔案
推薦使用CSI的iframkill

預防

這個病毒看起來象熊貓燒香AV終結者的結合體,陽光以前曾給過一個詳細的分析。如果這個病毒把感染做的完美些(現在病毒還不是真正意義上的感染,是用病毒體完全覆蓋正常EXE),會不會造成和李俊版熊貓燒香一樣的效果呢,完全有可能。
以下是關於該病毒的詳細分析報告:

病毒信息

病毒名:Win32.Troj.Serwer.yx
病毒中文名稱:小瓢蟲

病毒行為

這是一個感染型病毒,把會計算機上的系統時間改為2030年,在系統盤的system32資料夾下釋放多個病毒檔案。
計算機上的每個盤下生成SDGames.exe和Autorun.inf兩個檔案,以達到通過雙擊該盤時病毒可以運行起來。
在每個盤下生成三個Url檔案,都指向該盤下的SDGame.exe檔案,三個Url檔案具有迷惑性的圖示。可以查看這三個URL的屬性,會發現都指向c:\sdgame.exe。
通過添加註冊表啟動項以達到開機時病毒能運行起來,通過修改註冊表破壞系統安全模式,禁用大部分系統功能:包括,禁用任務管理器,禁用控制臺,禁止修改系統配置,鎖定主頁,禁用註冊表編輯器等。
映像劫持了大量軟體,被劫持的軟體包括“防毒軟體”,“系統檢測工具”,“QQ”,(連QQ都不讓用,這病毒夠BT)
感染計算機上的exe檔案,感染方式為覆蓋數據。(除系統盤外,其它盤的EXE都被替換為小瓢蟲圖示)
感染計算機上的hta,html,htm,jsp,php,asp後綴的檔案,插入網頁代碼.(除系統盤外,這一點和熊貓燒香的傳播方式相同,有可能會造成網站大面積掛馬
計算機上的所有盤設為所有人完全共享,(這是尼姆達病毒最常用的手段,當然,目的就是在區域網路中大面積傳播了。)
病毒運行後釋放以下檔案:
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
Taskeep.vbs的作用是運行起病毒進程
netshare.cmd的作用是打開本機的共享
Avpser.cmd用於結束計算機上的大量防毒軟體、安全檢測軟體,常見防毒軟體都在被攻擊之列。
病毒在計算機上的每個盤下生成SDGame.exe和Autorun.inf,並生成Recycleds.url,Windows.url,新建資料夾.url三個檔案,誘使用戶雙擊。這三個檔案都指向該盤下的SDGame.exe檔案。(Recycleds.url的圖示為“資源回收筒”,其餘兩個圖示為“資料夾圖示”)
病毒創建註冊表啟動項,添加服務;
計算機上為以下後綴名的檔案插入代碼:(除系統盤外)
".hta"
".html"
".htm"
".php"
".asp"
".jsp"
插入的代碼:
感染計算機上的exe檔案,感染方式為覆蓋數據.(除系統盤,被感染後的exe檔案圖示為綠色的小飄蟲)
修改計算機上的reg和txt檔案關聯指向"%systemroot%\system32\SDGames.exe"
計算機上的系統時間改為2030年,中國木馬製作者的慣用手法。
通過修改註冊表的方式破壞安全模式。
禁用cmd:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD
破壞顯示隱藏檔案:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得檔案擴展名無法顯示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隱藏控制臺:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用註冊表編輯器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任務管理器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主頁為: http://www.zhidaobaidu.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
映像劫持常用安全軟體,這次連防毒軟體命令查毒都沒放過。

相關詞條

熱門詞條

聯絡我們