今天和一个病毒搏斗了好久,叫什么名字不知道,其特征是在%systemroot%/system32/下有一个隐藏的QQhx.dat文件。此病毒能阻止金山毒霸和卡巴斯基6.0的正常运行,金山系统清理专家和360安全卫士对它无效,并且能始终保持隐藏文件不显示(设置显示了马上被改回去)。由于被隐藏,dos下也无法删除。
其实这个是U盘病毒 sxs.exe的一个变种,貌似叫Worm.Pabug.ao什么的。
病毒分析
一、生成物:
病毒运行后,一般生成如下几个文件
C:\WINDOWS\system32\xxxxxx.exe
C:\WINDOWS\system32\xxxxxx.dll
C:\WINDOWS\system32\QQhx.dat
在每个磁盘分区下生成autorun.inf 和sxs.exe文件
其中sxs.exe和上面的C:\WINDOWS\system32\xxxxxx.exe都是柯南的头像
注意 其中xxxxxx.exe为随机的名称,不过一般是六个字母,我见过的如jvmlts.exe,ybcatc.exe等。下面那个xxxxxx.dll与上面那个xxxxxx.exe同名 如jvmlts.dll,ybcatc.dll
二、注册表行为:
2.1一般在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加自启动项
C:\WINDOWS\system32\xxxxxx.exe
如上面的例子 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下面添加C:\WINDOWS\system32\ybcatc.exe
2.2修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的键值为"0
达到系统显示不了隐藏文件的目的
三、其他行为
该病毒试图关闭带有如下字样的窗口:
防火墙
网镖
杀毒
木马
专杀
安全
结束以下服务并把他们设置成禁用
sharedaccess
kvwsc
kvsrvxp
kavsvc
rsravmon
rsccenter
rsravmon
srservice
结束以下进程
kav.exe
kvol.exe
kvfw.exe
adam.exe
tbmon.exe
kav32.exe
kvwsc.exe
ccapp.exe
conime.exe
eghost.exe
kregex.exe
kavsvc.exe
vptray.exe
ravmon.exe
eghost.exe
kavpfw.exe
shstat.exe
ravtask.exe
trojdie.kxp
iparmor.exe
mailmon.exe
mcagent.exe
kavplus.exe
ravmond.exe
rtvscan.exe
nvsvc32.exe
kvmonxp.exe
kvsrvxp.exe
ccenter.exe
kpopmon.exe
rfwmain.exe
kwatchui.exe
mcvsescn.exe
mskagent.exe
kvolself.exe
kvcenter.kxp
kavstart.exe
ravtimer.exe
rfwmain.exe
firetray.exe
updaterui.exe
kvsrvxp_1.exe
ravservice.exe
病毒处理
1.下载Icesword 1.20和 sreng
地址http://www.crsky.com/soft/6947.html
http://www.kztechs.com/sreng/sreng2.zip
2.确定可疑的病毒文件 C:\WINDOWS\system32\xxxxxx.exe
有两种方法推荐给大家 一是 用sreng扫描系统 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面查找6个字母的 项目
比如下面的例子
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<kav><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"> [Kaspersky Lab]
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [N/A]
<dhcvyx><C:\WINDOWS\system32\ybcatc.exe> [N/A]
里面的 <dhcvyx><C:\WINDOWS\system32\ybcatc.exe>则是病毒
然后即可推断 还应该存在一个C:\WINDOWS\system32\ybcatc.dll
二是 开始 运行 输入msconfig 启动选项卡 然后在里面找路经文件名为6位字母的启动项
3.打开Icesword.exe-进程 找到xxxxxx.exe 右键结束他 (xxxxxx.exe就是你刚才找到的那个六位字母的文件)
4.点击Icesword左下角的文件 找到C:\WINDOWS\system32\xxxxxx.exe
C:\WINDOWS\system32\QQhx.dat
右键删除掉他们
5.打开sreng 启动项目 注册表
找到shell这个 此时他应该是红色的
然后点击下面的编辑 把explorer.exe后面的东西删掉
6.把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
此时隐藏文件就可以显示了
7.重启计算机
8.双击我的电脑 工具 文件夹选项
查看 选中显示所有文件和文件夹 并且把隐藏受保护的操作系统文件的钩和隐藏文件的扩展名的钩挑下去 然后确定
右击打开C盘
找到C:\WINDOWS\system32\xxxxxx.dll删除掉
9.右击打开其他磁盘分区删除 每个分区根目录下的 sxs.exe和autorun.inf文件
注意一定不要双击打开 否则病毒又会被激活!
另:建议大家禁用 windows 的自动播放功能 方法是在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。
另外插入U盘等可移动存储设备后 一定不要双击 要用右键打开
有条件的话最好右键用最新的反病毒软件扫描一遍
这样可以最大限度的减少被类似U 盘病毒 感染的机会
附 U盘病毒免疫工具 下载地址 http://newcenturysun.hits.io/U.zip
当然也有人提出一个懒方法:用Notepad打开QQhx.dat,将内容清空后保存,重启出现一些错误提示,于是乎杀毒软件都正常了……
行不行我不知道了。。。。
