- 积分
- 707
- 威望
- 976
- 元宝
- 0
- 铜钱
- 613
|
1楼
发表于 2007-11-29 13:41
| 只看该作者
高危病毒“恐怖鸡感染号”(logogogo.exe)再度变种
本周“恐怖鸡感染号”病毒再度变种,使用技术与之前的logogogo.exe如出一辙。, a$ H! l, y, N: a. S6 f b; U
* l: k2 b1 v# v1 r) I( d# M- f- X# r病毒特征如下:4 k# |; d, g6 n% \' x
- k" s% ~, A6 [1 j* r! ~
加载常规启动项
5 v2 A: J H0 ~% {【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】0 R( }+ t% X5 v) Z4 v
<TBMonEx><C:\WINDOWS\system\soundmno.exe> 1 S; e* N m2 [. L- n* l) C
(另一个变种的路径: C:\WINDOWS\system\C0NIME.EXE)+ T$ a, l# F$ I7 B1 J6 i z c
在各个盘符留下病毒主文件ntldr.exe (单独运行此文件的话,病毒会通过批处理实现自删除)
$ N# @: ?) g" t进程中存在soundmno.exe或者C0NIME.EXE,感染包括毒霸在内的可执行文件,劫持大量杀毒软件。
( D. }5 i+ h$ G2 A1 {& V/ b% y8 z$ }4 F; ?( |
7 b/ q. a/ T8 n类似病毒的技术细节分析参考:http://bbs.duba.net/thread-21847768-1-1.html$ h1 D8 [( F) @5 `+ I& W4 X9 _
0 o4 K) `6 E2 H3 n9 F1 C( A' ^% t* E
# |5 M8 K# U. j8 D
2 v" d3 _, q: ?% R
关于毒霸用户的处理方案如下:) P B% C! {% r5 |
# m/ r' z( P- _ N+ B" g首先确认毒霸的病毒库版本是否是2007年11月17日的病毒库。确认方法如图:
, y4 G, y" a3 Y- q+ _2 \+ \- [# p y1 |" E$ f/ H H
8 a! W4 \2 K# d; u1 M) G. E( g* y) h3 j4 G! i/ x$ \
- |) o7 x* o. P- V! G
最后升级时间为2007年11月26日,晚于2007年11月17日即可跳过此步骤。如果早于2007年11月17日的话首先手动升级病毒库,进入带命令行的安全模式处理病毒的感染特征。
$ o- C! T/ q6 l( t- `8 H* ]3 N* i7 G1 I9 ] P# y% z& [9 t
具体操作方法请看:http://bbs.duba.net/thread-21847545-1-1.html" L+ ?' ~8 s3 Y. |
% O' @1 c; T0 v! j- C
; ^, y) I5 n2 A1 {. } R! V
如果已经是该病毒库日期之后的毒霸用户会有如下病毒名感染提示:1 z3 w2 F* U) J
7 N1 B5 Z; E- b, N* A: B1 P( Z
3 c. w& p0 v5 Q" I8 {
- m' V; [: q% C- _( v7 S, {" c$ j2 X$ H6 g0 I- E' _& A" I' x
6 D) s( V ~) ] M* K( R/ Z. ]
病毒感染特征处理后可使用如下手工处理方案:$ }$ Y. i0 V; k+ j- _) X2 E
2 H1 Q6 K! J9 G: V& v# Z3 U0 g一:结束病毒进程: C; i- X3 o1 d
运行金山系统清理专家进行全面诊断,隐藏所以已知的安全项目后选择病毒进程soundmno.exe将其修复。% u, J) s- D( f* ~
* x: R/ I1 \8 A% W9 u; g
: o" L1 [2 S6 b! b
4 v- q! s5 \1 k二:清除病毒启动项& j8 X% }7 O5 m) I! K8 M) H
在清理专家的启动项管理中找到病毒启动项TBMonEx后单击选择【清除该项】
$ l: S2 M* M% F3 A
4 w* d# f, t! [( n, F
6 N7 A( ` P" F. d j3 ?3 K. |4 R% I m1 _* e
" p3 J) U$ N: P7 x8 u- x
三:粉碎病毒文件/ ?! }8 h$ ^# j; F9 f; p
打开安全百宝箱中的文件粉碎器,添加各个盘符下的病毒文件ntldr.exe并全部粉碎。
( ?/ z* N# p4 Z% {
0 K6 b# u- h. B* o* U
2 U) }1 u5 \ I' t% K& V6 ?
) Y* X* C, C) ?0 [
& W' Q. i4 L% f; |0 M7 j5 M6 x: L0 }+ B
四:清理异常的autorun.inf和病毒破坏。
& S+ d# r6 a \- f点击清理专家的恶意软件扫描功能,全选后清除选定项。(全选后“异常的autorun.inf”前会勾选)2 C5 G2 R! D& a. V3 D
* V! L) y! @! L( O
$ f( ]1 R. G1 J: R
) a* `3 h& r$ A6 C. ?
$ }0 R: o& k4 w& q( ]1 f
) m$ E1 B0 r: n2 n/ \五:重启后升级毒霸病毒库全面杀毒确保没有漏掉其他病毒$ ^6 G7 n) \& k- R/ P, |
(重启后可能没有桌面任务栏,手动加载explorer或者再重启一遍计算机即可。)
B }. }$ S! A, g0 m$ E" ]3 W8 \3 e) M2 \) Y
5 o" c5 k. m( ^6 j/ i( j清理专家手动杀毒的参考教程如下:
" G% Q# ^, @2 t; a# zhttp://bbs.duba.net/thread-21849402-1-3.html2 Y8 t, K: @: p2 {7 J" B0 b
( T* D4 l+ _& G7 x, d
9 @+ ~" r: t" Z- {; s$ B
( c' y) Y6 Z! Y; z[ 本帖最后由 papa 于 2007-12-3 11:19 编辑 ] |
|
发表于 2007-11-29 18:50
| 
