查看文章 |
5月30号发布的Autorun病毒kocmbcd.exe专杀获得了很好的效果,这是在我意料之外的事了。VBS脚本写的杀毒指令比起那些具有独立杀毒引擎(Windows清理助手)的工具差多了。不过欣慰的是,VBS写的专杀确实带来了很好的效果。 我这里有Virus.Win32.AutoRun的两个变种:Virus.Win32.AutoRun.f(我分析的kocmbcd.exe就是此变种)与Virus.Win32.AutoRun.ag(清新阳光分析的ouvjwsc.exe是此变种),这两个变种都非常的流行!并且我学校爆发的是ouvjwsc.exe!此病毒生成的文件名并不是随机的7位字母(否则我的专杀就没效了),然而此病毒的变种是随机7位字母命名的。 在原来kocmbcd.exe专杀的基础上增加了杀ouvjwsc.exe变种的指令,ouvjwsc.exe的简单分析如下: 一、病毒运行后生成如下文件: 注:如果你的操作系统在C盘,那么%systemroot%表示C:\windows,X表示每一个盘符(除了移动盘)。在移动盘中的病毒名为haqeyfy.exe。且dtstorp.exe、ouvjwsc.exe、vlskjgs.exe与haqeyfy.exe是同一病毒。 二、修改注册表键值: 1、IFEO劫持等其它行为(略——参考这) 2、添加如下注册表键值以达到随机启动的目的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\haqeyfy 值:C:\windows\system32\dtstorp.exe 类型:REG_SZ 三、中毒症状: 最典型的就是许多安全软件无法使用(双击启动不了),这会导致你有重装系统的冲动……教你一个方法绕过,将你运行不了的安全软件改个名字即可(如果可以重命名的话);系统时间被改为1980年11月15日;每个盘符根目录下都有病毒文件,双击打不开或在新窗口中打开(这往往导致许多人重装系统后又中毒了);任务管理器中的病毒进程互相保护着,你根本没办法结束它们(其实办法还是有的)。 四、专杀说明与下载: 1、专杀目前可以完全查杀kocmbcd.exe与ouvjwsc.exe通过移动盘传播的病毒!此病毒皆为Virus.Win32.AutoRun(卡巴)病毒的变种,遇到新变种我会继续更新杀毒指令。 2、如果你中的是其它变种的Virus.Win32.AutoRun,运行此专杀将能暂时解决部分问题。你可以将病毒样本发到此邮箱ycosxhack@126.com,以便我更新杀毒指令。 3、有一点需声明:杀完此毒后,专杀会在每个盘符的根目录下创建隐藏的autorun.inf文件夹,此文件夹内有一个带点的“免疫文件夹.”,这样起到autorun型病毒的免疫作用,如果你要删了它,将下面代码保存为D.BAT,双击运行即可。 @echo off 专杀下载:我的网盘http://ycosxhack.ys168.com/,病毒专杀目录,文件名为“Autorun随机七位字母命名的病毒专杀.rar”。 快捷有效的杀毒方法 由于这只病毒具有下载者性质,会下载其它类型的病毒。而草莽书生在这方面已经有应对方法了,这为大家节省了许多时间。在草莽书生的这篇文章中:近期坏事做尽恶性U盘病毒专杀指令,提到能够解决随机8位数字和字母组合的恶性U盘,OnLineGames 新变种 (包含csyywll.exe专杀指令),他自己开发的工具再次派上了用场^ ^。并且好友孤单与清新阳光都给出了解决此类病毒很棒的方法! 这些解决方案可以配合着使用,举一反三。记得杀完毒后将系统日期改为正常值。并用杀软(AVG、卡巴等)扫描全盘做最后的清理。 |
