11.11-11.17流行病毒排行榜NO.9：Win32.Troj.Unknown.b.81920

铁军

病毒名称(中文):Win32.Troj.Unknown.b.81920（这种恶心人的病毒太多了，自动分析系统用unknown来命名）
威胁级别:★☆☆☆☆
病毒类型:木马下载器（又是下载器）
4 I6 O: V+ s& v8 k8 w病毒长度:81920
影响系统:WinNT Win2000 WinXP
1 A: r7 @$ R' I1 I) k
& E1 t' Q7 Q6 j) Q% L! C病毒行为:
这是一个下载者病毒，病毒会把客户计算机里的安全软件警告都关闭掉，使客户计算机里的安全软件失去作用，病毒在客户计算机上的每个盘下生成 AutoRun.inf 和Dser.exe 文件，病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行。
# W8 G& ~! a" D' f8 o* t+ |5 U
( i1 R3 a; k& s$ _; K  u病毒成功在客户计算机上运行后把自身复制到客户计算机的%SystemRoot%\system32\ 文件夹下
( v; Y3 }5 S: `0 P$ m
病毒会注册表服务项以达到开机自启动的作用

5 Q* {3 D5 y& K& H/ E$ I病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.
/ l- S1 D% o) B) {! e（又是和AV终结者用相同的手法）

! U! s* F& N; E0 r" I2 @( Q. c病毒生成的文件:
%SystemRoot%\system32\Dser.exe
' ~0 y+ e2 }" F/ ]! o* W7 o病毒添加的注册表项:
& @# C: e7 ~8 H; ]Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

& o" X. }) b0 N2 u1 i5 L$ F病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
9 X2 O9 v: `" b; ?hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
6 H2 I" Y) J. e! t( X& o# Phxxp://www.**ba*ba*mm.**.cn/127.exe
( E+ u' @; E! lhxxp://www.**ba*ba*mm.**.cn/128.exe

解决方案：
该病毒关闭杀毒软件，并下载更多木马，下载器本身只有一个文件。中毒后，应该全面查杀，将所有已经下载的木马清除干净。
手工查找%SystemRoot%\system32\Dser.exe（缺省是c:\windows\system32目录）
1 U3 v8 Q. Z: I% l: @8 y使用金山清理专家直接粉碎这个文件，然后尝试升级毒霸杀毒。
( l: i( O* h/ i) v
防范手段：
$ I$ r. _3 r4 g. G* s1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2.使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
+ U9 y8 m3 P) F( s% ]- X$ ~3.及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4.关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。
1 t7 ?0 t/ ^0 h, q& C6 X
# k$ v7 E( n+ {3 w5 p( \有关金山清理专家2.1的使用，请参考《新手入门——清理专家简易手册》

liuchun121

学习