Virus.Win32.AutoRun.tn是一個高危害等級病毒,感染Win98以上的系統版本。
基本介紹
- 病毒名稱:Virus.Win32.AutoRun.tn
- 公開範圍:完全公開
- 危害等級:高
- 感染系統:Win98以上版本
基本信息,行為分析,病毒描述,本地行為,
基本信息
Virus.Win32.AutoRun.tn分析
病毒名稱: Virus.Win32.AutoRun.tn
病毒類型: 病毒類
檔案 MD5: db9dcd04e8fc96d7b83c0476d5902ec7
公開範圍: 完全公開
危害等級: 高
檔案長度: 28,160位元組
感染系統: Win98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
行為分析
病毒描述
該病毒運行後釋放病毒自身到各個驅動器的根目錄下,並釋放一個autorun.inf檔案,
當用戶打開驅動器是就會自動執行該病毒,同時衍生大量的遊戲木馬到系統資料夾下;對
本地行為
1、檔案運行後會釋放以下檔案:
%System32%\Systom.exe 28,160位元組
%DriveLetter%\auToRun.inf 156位元組
%DriveLetter%\nx.exe 28,160位元組
%System32%\5temp.exe 32,385位元組
%System32%\addrmshelp.dll 11,888位元組
%System32%\auToRun.inf 156位元組
%System32%\avzxdmn.dll 23,126位元組
%System32%\avzxdst.exe 15,146位元組
%System32%\daemon_mgm.exe 49,152位元組
%System32%\kafyeaz.exe 13,364位元組
%System32%\kafyezy.dll 19,044位元組
%System32%\kawdbaz.exe 14,035位元組
%System32%\kawdbzy.dll 20,058位元組
%System32%\kvdxcis.exe 14,269位元組
%System32%\kvdxcma.dll 20,072位元組
%System32%\kvmxeis.exe 14,437位元組
%System32%\kvmxema.dll 20,580位元組
%System32%\NetMonInstaller.exe 6,656位元組
%System32%\npf_mgm.exe 49,152位元組
%System32%\qdshm.dll 9,818位元組
%System32%\rpcapd.exe 86,016位元組
%System32%\rsmydpm.dll 22,094位元組
%System32%\rsmydsp.exe 15,005位元組
%System32%\rsztcpm.dll 23,110位元組
%System32%\rsztcsp.exe 15,354位元組
%System32%\Systom.exe 28,160位元組
%System32%\wpc2.exe 659,456位元組
%System32%\wuapi.dll.mui 25,944位元組
%System32%\wuaucpl.cpl.mui 25,944位元組
%System32%\wuaueng.dll.mui 16,216位元組
%System32%\wucltui.dll.mui 30,040位元組
%System32%\zxarps.exe 24,064位元組
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
AST.exe
AutoRuns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
krepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmc.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
taskmgr.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
3、新增註冊表:
HKCR\CLSID\{2598FF45-DA60-F48A-BC43-10AC47853D52}
\InprocServer32
註冊表值: (默認)
類型: REG_SZ
值: C:\WINNT\system32\rarjbpi.dll
HKCU\SOFTWARE\MICROSOFT\Internet Explorer
\Toolbar\Explorer
註冊.表值: ITBarLayout
類型: REG_BINARY
值: 110000005C0000000000000034000000...
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION
\Explorer\ShellExecuteHooks
註冊表值: {2598FF45-DA60-F48A-BC43-10AC47853D52}
類型: REG_SZ
值: rarjbpi.dll
HKCR\CLSID\{4859245F-345D-BC13-AC4F-145D47DA34F4}
\InprocServer32
註冊表值: (默認)
類型: REG_SZ
值: C:\WINNT\system32\avzxdmn.dll
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION
\Explorer\ShellExecuteHooks
註冊表值: {4859245F-345D-BC13-AC4F-145D47DA34F4}
類型: REG_SZ
值: avzxdmn.dll
4、修改注.冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT
\Internet Explorer\Extensions
\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
註冊表值: ButtonText
新建鍵值:
類型: REG_SZ
值: @shdoclc.dll,-866@2052,相關站點
原鍵值:
類型: REG_SZ
值: @shdoclc.dll,-866
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT
\Internet Explorer\Extensions
\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
註冊表值: MenuText
新建鍵值:
類型: REG_SZ
值: @shdoclc.dll,-864@2052,顯示相關站點(&R)
原.鍵值:
類型: REG_SZ
值: @shdoclc.dll,-864
HKLM\SOFTWARE\MICROSOFT\Internet Explorer
\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
註冊表值: MenuStatusBar
新建鍵值:
類型: REG_SZ
值: @shdoclc.dll,-865@2052,顯示與當前頁相關的站點。
原鍵值:
類型: REG_SZ
值: @shdoclc.dll,-865
HKCU\SOFTWARE\MICROSOFT\Internet Explorer
\Toolbar\ShellBrowser
註冊.表值: {0E5CBF21-D15F-11D0-8301-00AA005B4383}
新建鍵值:
類型: REG_BINARY
值: 21BF5C0E5FD1D011830100AA005B4383...
原鍵值:
類型: REG_BINARY
值: 21BF5C0E5FD1D011830100AA005B4383...
網路行為:
1、連線網路下載病毒檔案:
連線網路:
www.tes***com(222.208.183.***)
下載病毒檔案並自動運行:
%Documents and Settings%\Temporary Internet
Files\Content.IE5\25S27BF7\14[1].exe 265,781位元組
病毒名:Trojan-PSW.Win32.OnLineGames.eom
%Documents and Settings%\Temporary Internet Files
\Content.IE5\25S27BF7\2[1].exe 20,044位元組
病毒名:Trojan-PSW.Win32.OnLineGames.eon
%Documents and Settings%\Temporary Internet Files
\Content.IE5\25S27BF7\6[1].exe 32,385位元組
病毒名:Virus.Win32.AutoRun.sx
%Documents and Settings%\Temporary Internet Files
\Content.IE5\4XY7C1AB\4[1].exe 15,354位元組
%Documents and Settings%\Temporary Internet Files
\Content.IE5\4XY7C1AB\8[1].exe 14,035位元組
病毒名:Trojan-PSW.Win32.OnLineGames.enh
%Documents and Settings%\Temporary Internet Files
\Content.IE5\M0OMLYEX\1[1].exe 14,437位元組
病毒名:Trojan-PSW.Win32.OnLineGames.ejx
%Documents and Settings%\Temporary Internet Files
\Content.IE5\M0OMLYEX\5[1].exe 15,005位元組
病毒名:Trojan-PSW.Win32.OnLineGames.eau
%Documents and Settings%\Temporary Internet Files
\Content.IE5\M0OMLYEX\9[1].exe 13,364位元組
病毒名:Trojan-PSW.Win32.OnLineGames.epf
%Documents and Settings%\Temporary Internet Files
\Content.IE5\Z8OCRA4R\3[1].exe 15,146位元組
病毒名:Trojan-PSW.Win32.OnLineGames.enb
%Documents and Settings%\Temporary Internet Files
\Content.IE5\Z8OCRA4R\7[1].exe 14,269位元組
病毒名:Trojan-PSW.Win32.OnLineGames.eei
%Documents and Settings%\Temporary Internet Files
\Content.IE5\Z8OCRA4R\down[1].exe 28,160 bytes
病毒名:Virus.Win32.AutoRun.tn
註: %System32% 是一個可變路徑。病毒通過查詢.作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案: www.newjian.com
1 、使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天木馬防.線“進程管理”關閉病毒進程
(2)刪除病毒檔案:
%System32%\Systom.exe 28,160位元組
%DriveLetter%\auToRun.inf 156位元組
%DriveLetter%\nx.exe 28,160位元組
%System32%\5temp.exe 32,385位元組
%System32%\addrmshelp.dll 11,888位元組
%System32%\auToRun.inf 156位元組
%System32%\avzxain.dll 55位元組
%System32%\avzxdmn.dll 23,126位元組
%System32%\avzxdst.exe 15,146位元組
%System32%\c.txt 510位元組
%System32%\daemon_mgm.exe 49,152位元組
%System32%\kafyacs.dll 62位元組
%System32%\kafyeaz.exe 13,364位元組
%System32%\kafyezy.dll 19,044位元組
%System32%\kawdacs.dll 57位元組
%System32%\kawdbaz.exe 14,035位元組
%System32%\kawdbzy.dll 20,058位元組
%System32%\kvdxacf.dll 64位元組
%System32%\kvdxcis.exe 14,269位元組
%System32%\kvdxcma.dll 20,072位元組
%System32%\kvmxecf.dll 62位元組
%System32%\kvmxeis.exe 14,437位元組
%System32%\kvmxema.dll 20,580位元組
%System32%\NetMonInstaller.exe 6,656位元組
%System32%\npf_mgm.exe 49,152位元組
%System32%\qdshm.dll 9,818位元組
%System32%\rpcapd.exe 86,016位元組
%System32%\rsmyafg.dll 51位元組
%System32%\rsmydpm.dll 22,094位元組
%System32%\rsmydsp.exe 15,005位元組
%System32%\rsztafg.dll 47位元組
%System32%\rsztcpm.dll 23,110位元組
%System32%\rsztcsp.exe 15,354位元組
%System32%\Systom.exe 28,160位元組
%System32%\test1.txt 98位元組
%System32%\wpc2.exe 659,456位元組
%System32%\wuapi.dll.mui 25,944位元組
%System32%\wuaucpl.cpl.mui 25,944位元組
%System32%\wuaueng.dll.mui 16,216位元組
%System32%\wucltui.dll.mui 30,040位元組
%System32%\zxarps.exe 24,064位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\25S27BF7\14[1].exe265,781位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\25S27BF7\2[1].exe20,044位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\25S27BF7\6[1].exe32,385位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\4XY7C1AB\4[1].exe15,354位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\4XY7C1AB\8[1].exe14,035位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\M0OMLYEX\1[1].exe14,437位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\M0OMLYEX\5[1].exe15,005位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\M0OMLYEX\9[1].exe13,364位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\Z8OCRA4R\3[1].exe15,146位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\Z8OCRA4R\7[1].exe14,269位元組
%Documents and Settings%\Temporary Internet
Files\Content.IE5\Z8OCRA4R\down[1].exe28,160位元組
(3)恢復病毒修改的注.冊表項目,刪除病毒添加的註冊表項:
HKCR\CLSID\{2598FF45-DA60-F48A-BC43-10AC47853D52}
\InprocServer32
註冊表值: (默認)
類型: REG_SZ
值: C:\WINNT\system32\rarjbpi.dll
HKCU\SOFTWARE\MICROSOFT\Internet Explorer
\Toolbar\Explorer
註冊表值: ITBarLayout
類型: REG_BINARY
值: 110000005C0000000000000034000000...
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION
\Explorer\ShellExecuteHooks
註冊表值: {2598FF45-DA60-F48A-BC43-10AC47853D52}
類型: REG_SZ
值: rarjbpi.dll
HKCR\CLSID\{4859245F-345D-BC13-AC4F-145D47DA34F4}
\InprocServer32
註冊表值: (默認)
類型: REG_SZ
值: C:\WINNT\system32\avzxdmn.dll
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION
\Explorer\ShellExecuteHooks
註冊表值: {4859245F-345D-BC13-AC4F-145D47DA34F4}
類型: REG_SZ
值: avzxdmn.dll
(4)修復SPI鏈,刪除被劫持的映像。