Virus.Win32.AutoRun.hw,病毒專殺工具。
基本介紹
- 外文名:Virus.Win32.AutoRun.hw
- 類別:病毒查殺
- 危害等級:C級
- 公開範圍: 完全公開
Virus.Win32.AutoRun.hw病毒查殺
一、 病毒標籤:
病毒名稱: Virus.Win32.AutoRun.hw
病毒類型: 下載者
檔案 MD5:e7bcf531a6ef19d51dfa0b3f61e3f370
檔案長度: 18.5 KB (18,944 位元組)
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 18.5 KB (18,944 位元組)殼
命名對照:
江民Virus.Autorun.es
熊貓Generic Malware
瑞星Trojan.DL.Win32.Autorun.yui
AntiVir TR/Delphi.Downloader.Gen
二、 病毒描述:
該病毒為下載者,打開隱.藏IE進程,通過UrlDownloadToFileA函式連線網.絡下載:
http://down.dj7788.cn/arp/0.exe
http://down.dj7788.cn/arp/1.exe
http://down.dj7788.cn/arp/2.exe
http://down.dj7788.cn/arp/3.exe
http://down.dj7788.cn/arp/4.exe
http://down.dj7788.cn/arp/5.exe
http://down.dj7788.cn/arp/6.exe
http://down.dj7788.cn/arp/7.exe
http://down.dj7788.cn/arp/8.exe
http://down.dj7788.cn/arp/9.exe
http://down.dj7788.cn/arp/10.exe
http://down.dj7788.cn/arp/11.exe
http://down.dj7788.cn/arp/12.exe
http://down.dj7788.cn/arp/13.exe
http://down.dj7788.cn/arp/14.exe
http://down.dj7788.cn/arp/15.exe
http://down.dj7788.cn/arp/16.exe
http://down.dj7788.cn/arp/17.exe
http://down.dj7788.cn/arp/18.exe
http://down.dj7788.cn/arp/19.exe
該域名在前段時間因為17大的來臨被.我提交給CERT的ATEK了,已經被和諧處理,所以下載失敗。
只需要.下載專殺程式進行清理就可以了。
三、 行為分析
通過攔截視窗並用虛擬鍵盤輸出繞過瑞星卡卡上網安全助手的IE防漏牆:
UPX0:00405BE1 ; ---------------------------------------------------------------------------
UPX0:00405BE2 align 4
UPX0:00405BE4 ; char WindowName[]
UPX0:00405BE4 WindowName db ''''IE 執行保護'''',0 ; DATA XREF: StartAddress+32 o
UPX0:00405BF0 ; char ClassName[]
UPX0:00405BF0 ClassName db ''''#32770'''',0 ; DATA XREF: StartAddress+37 o
UPX0:00405BF0 ; StartAddress+4C o
UPX0:00405BF0 ; StartAddress+17F o
UPX0:00405BF7 align 4
UPX0:00405BF8 ; char s_IeGD[]
UPX0:00405BF8 s_IeGDdb ''''IE執行保護'''',0 ; DATA XREF: StartAddress+47 o
UPX0:00405C03 align 4
UPX0:00405C04 ; char s_A_0[]
UPX0:00405C04 s_A_0 db ''''允許執行'''',0 ; DATA XREF: StartAddress+6C o
UPX0:00405C0D align 10h
UPX0:00405C10 ; char s_Button[]
UPX0:00405C10 s_Button db ''''Button'''',0 ; DATA XREF: StartAddress+71 o
UPX0:00405C10 ; StartAddress+F8 o
UPX0:00405C10 ; StartAddress+198 o
UPX0:00405C17 align 4
UPX0:00405C18 ; char s_I[]
UPX0:00405C18 s_I db ''''確定'''',0 ; DATA XREF: StartAddress:loc_405A7F o
UPX0:00405C1D align 10h
UPX0:00405C20 ; char s_IIL-IeI[]
UPX0:00405C20 s_IIL-IeI db ''''瑞星卡卡上網安全助手 - IE防漏牆'''',0
UPX0:00405C20 ; DATA XREF: StartAddress:loc_405B06 o
UPX0:00405C40 ; char s_A[]
UPX0:00405C40 s_A db ''''允許'''',0 ; DATA XREF: StartAddress+193 o
UPX0:00405C45 align 4
UPX0:00405C48
UPX0:00405C48 ; *************** S U B R O U T I N E ***************************************
添加啟動項目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winownes "ImagePath"
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\syst.em32\sedrsvedt.exe
添加檔案:
c:\WINDOWS\system32\sedrsvedt.exe
Date: 10-16-2007 7:19 PM
Size: 18,944 bytes
*:\autorun.inf
解決方案:
刪除檔案:
C:\WINDOWS\system3.2\sedrsvedt.exe
*:\autorun.inf
刪除註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winownes "ImagePath"
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\system32\sedrsvedt.exe
SRENG:
[Telephotsgoogle / Winownes][Stopped/Auto Start]
{C:\WINDOWS\system32\sedrsvedt.exe}{N/A}
或者下載專殺程式進行清除
Virus.Win32.AutoRun.hw病毒專殺工具下載
【原文地址:http://secure.itdigger.com/2007/10/16/203519546.htm 】
