查看文章 |
昨晚flint说他要测试病毒,看看他的安全套装强大不。一不小心(疏忽),小红伞被udnnnvq.exe给KILL了……他告诉我在盘符根目录下(除了C盘),病毒创建了奇怪的随机7位字母的文件夹,此文件下还有个带点的文件夹,删不了……我在解决过程中发现此毒也会将我专杀生成的免疫文件夹autorun.inf改名为随机7位数,然后病毒顺利创建autorun.inf隐藏文件!今早上完课收到网友来的邮件,附带了病毒样本nqgphqd.exe。这个病毒与udnnnvq.exe一样具有这样的行为!心寒…… nqgphqd.exe与udnnnvq.exe皆为Trojan-Downloader.Win32.Agent.bpp(卡巴报),不过nqgphqd.exe加了UPack壳,并且实力要比udnnnvq.exe强大!卡巴之前(也许是之后)将这类病毒报Virus.Win32.AutoRun。下面主要看nqgphqd.exe的分析(括号内为udnnnvq.exe的行为): 病毒名称:Trojan-Downloader.Win32.Agent.bpp 一、病毒运行后生成如下文件: 注:如果你的操作系统在C盘,那么%systemroot%表示C:\windows,X表示每一个盘符(除了移动盘)。rmwaccq.exe、wojhadp.exe、nqgphqd.exe与meex.com是同一病毒。 二、修改注册表键值: 1、IFEO劫持等其它行为(略——参考这) 2、添加如下注册表键值以达到随机启动的目的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cfrxjwg(udnnnvq) 值:C:\windows\system32\rmwaccq.exe (lnmwiid.exe)类型:REG_SZ 三、中毒症状: 最典型的就是许多安全软件无法使用(双击启动不了),这会导致你有重装系统的冲动……教你一个方法绕过,将你运行不了的安全软件改个名字即可(如果可以重命名的话);系统时间被改为1980年11月15日;每个盘符根目录下都有病毒文件,双击打不开或在新窗口中打开(这往往导致许多人重装系统后又中毒了),并且盘符下还有病毒生成的随机7位字母的文件夹,此文件下还有个带点的文件夹,删不了;任务管理器中的病毒进程互相保护着,你根本没办法结束它们(其实办法还是有的)。 以上就是nqgphqd.exe与udnnnvq.exe病毒的分析了。这些分析都成模板了……和以前的分析基本是一样的,不一样的是病毒文件名。 四、病毒专杀更新与说明: 由于此病毒会判断盘符下的autorun.inf文件夹,并将其随机命名。所以以前的免疫文件夹失效。如果你使用了本专杀以前的版本,病毒再次激活时会不断弹出这样的错误框“Runtime error 5 at 00407A75”,这是因为以前专杀免疫文件夹的存在导致病毒运行上的错误!现在发现nqgphqd.exe不再出现这样的错误了,看来病毒幕后是有针对的更新! 它更新,我也更新。这次学草莽书生的VirusKillBox的修复指令近期坏事作尽U盘病毒.DAT,添加病毒的注册表IFEO劫持!这样病毒不改名(你自己肯定不会去改)就无法激活了;删除盘符免疫代码;由于此毒是个下载者,也许会偷偷下载其它的病毒,建议看看快捷有效的杀毒方法(针对此毒)。 专杀目前可以完全查杀kocmbcd.exe、ouvjwsc.exe、nqgphqd.exe与udnnnvq.exe通过移动盘传播的病毒!我没其它可用网络空间,专杀到我网盘下载:http://ycosxhack.ys168.com/,病毒专杀目录,文件名为“Autorun随机七位字母命名的病毒专杀(更新).rar”。 |
