如何手动解决Win32.Downloader.n病毒的问题?
文件名称:AutoRun.exe、WIN.exe
文件大小:102400 byte
AV命名:
江民:TrojanDownloader.Agent.uec
卡巴斯基:Virus.Win32.Downloader.ab
瑞星:Win32.Downloader.n
NOD32:Win32/Mypis.J virus
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Borland Delphi 6.0 - 7.0
文件MD5:4f76815722d6440371ac8148d59add33
行为分析:
1、不释放任何副本和启动项,因为被感染的文件等同于病毒
2、查找可用磁盘,生成Autorun.exe和Autorun.inf。(未实现)
3、获取物理内存,可能作为隐藏进程用,不过没有实现。
4、保证一个互斥体,标志为“wokaon”避免多个病毒体在运行。
5、查找硬盘EXE和SCR文件并感染,首先跳过以下文件夹:
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
感染后的文件增加一区段,里面包含下载木马的命令,并修改入口点优先执行病毒。
6、查找"IEFrame" 类名窗口并关闭,可能导致一些浏览器被关闭。
7、连接网络,下载3个木马,并保存至本地为:
c:Program FilesCommon Filesm1.exe
c:Program FilesCommon Filesm2.exe
c:Program FilesCommon Filesm3.exe
测试时并没有实现。
解决方法:
因为没有启动项,所以不需要文件和注册表
1、下载PowerRmv(可到down.45it.com下载),选上抑制杀灭对象生成,填入:
C:autorun.inf
C:autorun.exe
D:autorun.inf
D:autorun.exe
E:autorun.inf
E:autorun.exe
F:autorun.inf
F:autorun.exe
又移动盘的自己再加上。
2、清理磁盘上的所有临时文件。
3、下载杀软,全盘扫描,修改被感染过的文件。
如果杀软不能识别的话,上报…
本文地址:http://www.45fan.com/dnjc/20592.html