- 积分
- 707
- 威望
- 976
- 元宝
- 0
- 铜钱
- 613
|
1楼
发表于 2007-11-29 13:41
| 只看该作者
高危病毒“恐怖鸡感染号”(logogogo.exe)再度变种
本周“恐怖鸡感染号”病毒再度变种,使用技术与之前的logogogo.exe如出一辙。! t9 U) {5 V# ~: ?6 n7 W4 ~
6 z. N4 E }3 d7 M" @; X病毒特征如下:
- W2 R5 B8 ^ Z! B+ ~% j3 e) C; _# I1 h' Q: ~4 `2 L
加载常规启动项2 ^, ^7 ?5 T$ {9 ?' G
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
: e9 F1 l) `& ? <TBMonEx><C:\WINDOWS\system\soundmno.exe>
% M+ D2 k' R! J P& A8 i+ X/ e(另一个变种的路径: C:\WINDOWS\system\C0NIME.EXE)5 Q% I) ^" R7 Y1 D( W: S# P2 \
在各个盘符留下病毒主文件ntldr.exe (单独运行此文件的话,病毒会通过批处理实现自删除)
- j n A4 i' i3 J% o8 R进程中存在soundmno.exe或者C0NIME.EXE,感染包括毒霸在内的可执行文件,劫持大量杀毒软件。$ d3 B3 c/ F$ H' p, c
, _7 `( p2 ]3 f% F; Q7 b4 k1 w0 ]8 ^ o9 |8 N Y% Z, ]
类似病毒的技术细节分析参考:http://bbs.duba.net/thread-21847768-1-1.html o2 a) e: W4 r4 {6 S
# z% t3 b" ]" J2 k. ]: b h9 ~ F
* r5 ~5 b8 W b* _5 K" K" M
关于毒霸用户的处理方案如下:3 O, m/ U: X2 g
" [$ o7 {" Y- b
首先确认毒霸的病毒库版本是否是2007年11月17日的病毒库。确认方法如图:% P6 R8 j! C6 k' u. Q& I+ J$ v
# S7 @1 k0 W% m9 b L4 X' W
- ~/ a" x' l; H$ a6 H
- p! g H5 E/ p2 e# V! [
3 p: e( ]% B0 F" a) W, U
最后升级时间为2007年11月26日,晚于2007年11月17日即可跳过此步骤。如果早于2007年11月17日的话首先手动升级病毒库,进入带命令行的安全模式处理病毒的感染特征。
& C7 M) W9 K5 g( u4 H# ?9 i8 Z# C _! V R
具体操作方法请看:http://bbs.duba.net/thread-21847545-1-1.html, r" J$ n5 q( D& ]+ V
% r+ i3 a8 J# O( P
0 N" S5 E: M$ ]7 z. v. c3 H& m如果已经是该病毒库日期之后的毒霸用户会有如下病毒名感染提示:
( W: e3 S) L4 o( v
- k* j7 w) |8 \7 B; ?
4 L6 ~) ~- l0 x$ ~! m
/ K/ Z4 p. p% B+ V$ |/ h+ A) Y
; H7 Z {; F* g4 d1 ~$ Q( z. i+ t2 t) Z# m1 Y% M
病毒感染特征处理后可使用如下手工处理方案:* z4 Y5 g: K, Y! C$ A& N
$ ^" O& S/ D3 U" T一:结束病毒进程
0 O% T) ~" L: X1 b+ K/ B运行金山系统清理专家进行全面诊断,隐藏所以已知的安全项目后选择病毒进程soundmno.exe将其修复。
" }7 ?8 |& c6 L
# {- S8 w) B8 R
$ V9 C9 F2 k: s' y
$ M' }6 N4 I: c* \- d二:清除病毒启动项0 [5 |2 ~/ h) H) B* _' |6 n
在清理专家的启动项管理中找到病毒启动项TBMonEx后单击选择【清除该项】
1 u0 V( n- Q& s/ R* {3 Y! N1 n& c( k5 D' w' {
( Z+ W& `: [: E0 }8 a( r" `0 Q2 w8 W( V! P6 j7 G, |& ?2 m& K
- ? w/ j* S' R4 J
三:粉碎病毒文件
0 l5 i% W* z) h4 {2 r) b! C打开安全百宝箱中的文件粉碎器,添加各个盘符下的病毒文件ntldr.exe并全部粉碎。 o9 q8 J8 c: V& Z6 r' R
/ ~* d% E; v& D; f; J1 b
6 |8 i2 l3 U2 g4 O, |& p
# w2 i! D* w$ U& y' v' n7 v6 r
3 M, J& D, g8 w$ W1 S& r* I四:清理异常的autorun.inf和病毒破坏。
. s8 R. @4 V) |! a$ _点击清理专家的恶意软件扫描功能,全选后清除选定项。(全选后“异常的autorun.inf”前会勾选)
) e U, \) e* ~2 b+ B1 l$ M$ ?3 P6 |) r- N+ k4 U2 Z
% L$ s0 o1 J0 A" H
( {# R% n! q3 v8 ~6 n
8 W9 M% A5 T! t
6 ?/ o$ q$ r2 ]# D# i! w' T8 E8 U2 p0 w五:重启后升级毒霸病毒库全面杀毒确保没有漏掉其他病毒. ~' `( Y6 M. t" f, B+ L
(重启后可能没有桌面任务栏,手动加载explorer或者再重启一遍计算机即可。)
( T" ]; [4 {, Q; g% b4 M3 L3 }2 d) l; x" F; A' C9 G
" N# e I# ?4 ^" x清理专家手动杀毒的参考教程如下:' t0 W% P% B! F% @" z Y
http://bbs.duba.net/thread-21849402-1-3.html7 |- h) Q0 X* C8 C, x3 n
7 z* S8 @+ l# n6 n- _- t" y; r7 M5 y( x3 Y# `% U
1 [: [1 M( F+ o[ 本帖最后由 papa 于 2007-12-3 11:19 编辑 ] |
|
发表于 2007-11-29 18:50
| 
