爱毒霸社区 Kingsoft Internet Security  Forum

 找回密码
 注册

用新浪微博连接

一步搞定

QQ登录

只需一步,快速开始

查看: 20709|回复: 7

流行U盘病毒汇总与通杀方案  关闭 [复制链接]

Rank: 6Rank: 6

铜钱
635
元宝
0
威望
1022
积分
728

枣泥月饼 豆沙月饼 安全精英 毒霸MVP勋章 技术达人 电脑清理高手 安全大师 最拉风人物

发表于 2007-12-7 18:21:28 |显示全部楼层
最近一段时间几个难缠的U盘病毒感染量比较大,用户为此比较苦恼。毒霸对这些病毒虽然可以查杀,但也难免病毒再生变种。
; }; e0 \, l: [. F8 f    7 m/ s) T1 }9 ~% B* l
本文介绍目前U盘病毒流行的破坏方式,并以本周流行的sos.exe为例,解释此类病毒的处理思路。
" }% K( n9 F% |/ y- F$ X$ o/ A2 p
" ?; h- S: o6 c" c: w+ @% ?7 Z/ k     文章最后提供最近几个感染大,并且破坏力较大的U盘病毒通杀批处理,并会定期更新。由于个人能力与时间有限,所以目前批处理主要处理流行的U盘病毒。相关病毒在网上以及毒霸论坛内可搜索的关键字如下:+ N. N* X& ^$ G* x

+ O, o- L; i# W0 K* rXP.EXE、ntldr.exe、snow.exe、sbl.exe、sos.Exe、HDM.exe、auto.exe、sbl.exe
8 u6 q8 E8 G" P7 e& |! Qlogogogo.exe、Rxpmon.exe、Systom.exe、snowfall.exe、TxHMoU.Exe、dream.exe
- x7 I; |% H& t) MC0NIME.EXE、soundmno.exe、BoBoTurbo.exe、ati2evxx.EXE、36Otray.exe
2 \; {* e4 U. G* S! U, M" {7 i6 m; X$ M' n
(注:如果毒霸升级到最新病毒库后无法处理的话,请按照文章最后提供的方法提交样本文件,以便分析与更新毒霸和批处理。声明:该批处理写入了针对病毒的映像劫持,以达到免疫和阻止之前被感染文件释放还原主文件的作用,但还是建议用户升级杀毒软件到最新后杀毒处理。)
  [. G: C; _# P1 }# I4 x' K+ N) m0 V/ O3 }& d
! p' E+ @1 i, z; S* p
目前U盘病毒流行的破坏方式. t) ?2 h7 A  j. f7 A; ?
9 F0 h8 y& Z/ q2 e( ?8 ~: B. b6 q; Q
1.为了隐藏自己锁定文件夹选项导致无法显示隐藏文件或者屏蔽文件夹选项。如图所示:                              * B* M6 X# C: ?% t9 `
没有文件夹选项.JPG
# g7 t' c3 k, r# S4 T

* u( E4 X# c! }3 d) y$ x& H; r4 W" Q0 q0 h
2.为了降低用户无法看到病毒进程禁用或者关闭任务管理器。如图所示:7 E: A; w" j* p' t
禁用任务管理器.JPG
; g& G6 U" f6 `' g0 U6 R2 W
; w9 k) [6 g$ K5 Q3 w. H! N
4 v, R; E: N, Q  F% l& S
3.为了防止用户安全模式杀毒删除注册表键值导致进入安全模式时异常报错。7 I1 R6 [: a$ [0 [2 t
+ ^+ f: ?% G2 k4 Z% B. G
4.为了防止杀毒更新后写入映像劫持或者修改系统时间,导致系统重启后杀毒软件无法运行。如图所示:
7 l2 U2 a) a) @ 病毒劫持.JPG
  w$ a* H+ o% z' ]: K2 e

" M1 |2 ^! {8 F, f+ w. B5.感染可执行文件,导致运行被感染的文件后自动恢复病毒主文件。
' u* j  U6 q# O2 h' q: y% D" H& U, e2 L7 h8 [
6.释放大量木马以及下载器源源不断地破坏挖掘用户主机资源。
! P. D. H  F+ P! J0 C# C* B) R2 L2 ^
7.在各个盘符下留下autorun.inf文件,导致磁盘无法格式化等。
" j/ _& L1 D( l; l* u autorun.JPG
  I, `- m2 f, a6 W/ {
) d5 @3 f, M  V+ D2 |
  E2 _! Q3 h2 T. Q- @0 _- m
U盘病毒清除举例  h& h& |& x8 k4 _1 R

( e$ X3 C7 `& G" q! D+ x样本名称:soS.exe 毒霸检测:Win32.TrojDownloader.Agent.90112. N. A1 j5 Z0 d. L' h, b
6 g% G2 y. v7 _# f5 o& q/ w
病毒注入分析:) z1 G' S3 i. P! Q7 p
加入启动项/ L6 @1 w' v8 g' U
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
; C) s6 g# Y) e    <crsss><C:\WINDOWS\system32\TxHMoU.Exe>  
* \; K: |$ r: y7 c7 J5 j释放C:\WINDOWS\system32\TxHMoU.Exe
3 @  H( Y; {- o全盘根目录留下soS.Exe和autorun.inf文件
1 d/ K, G+ N4 r5 q& k2 Q. d9 k4 O0 H
清理步骤:
8 `; k4 x# t$ y3 y: h6 Q" @& B7 N0 m
(由于毒霸2008默认安装金山系统清理专家,所以以清理专家为例。如果无法运行的话将清理专家主文件kasmain.exe改名为其他可执行文件即可。如:papa.com,093.pif等。)) m& A, O) H/ A
# {+ K, o6 I# H' d
1.运行清理专家中的进程管理工具结束病毒进程。如图所示:
4 Z5 V/ p- b. K; X0 S" } 结束病毒进程.JPG

; t+ n( C0 ]* K+ C6 x2 a- D# [" p/ H, \# Y3 |, p
2.使用文件粉碎器粉碎病毒文件。如图所示:# C% H0 t: c, _8 Z2 u
粉碎病毒文件.JPG

+ Y2 Z2 r+ O9 k9 l- U7 ~3 y0 o. w( }" [; b- P
3.使用清理专家清理恶意软件。如图所示:/ n! b* |0 B3 G( ?* k7 a
清理autorun.JPG

0 j0 ^; l( c: D+ R$ w/ G+ V$ w' U2 o: @" p( X  I1 P

+ P9 n- T8 e( f) b+ D下载如下帖子中的修复工具修复文件夹选项以及任务管理器被禁用的问题。
1 a% p, b3 N+ i+ Uhttp://bbs.duba.net/thread-21849402-1-6.html7 J( D, k- ?1 Z

; ~) N  ^: m9 h  d
: V# }6 w- ~) }, d流行的几个U盘病毒的分析与处理方案$ l( }; u# W* S: Z
4 q( f  \) N) D; V9 ]
梦中情人系列病毒:http://bbs.duba.net/thread-21840742-1-2.html$ E( u( H4 b1 `$ `5 I" h

: {; ?- f5 ~! y6 T+ x$ J恐怖鸡感染号系列变种:http://bbs.duba.net/thread-21853226-1-1.html9 {; H, ]1 [# [' L( c5 d
- C% l& \2 T0 O3 M
Auto.exe变种:http://bbs.duba.net/thread-21852688-1-1.html8 ], F' p3 C8 ~. t" K9 _7 k
* T( o# W. }7 k7 l- ?
一个黑吃黑的“AV”病毒:http://bbs.duba.net/thread-21855523-1-1.html
9 X& M: Y4 C+ z& N5 X/ f
) _% q. {* D! X! N6 v$ h. R" x
, x2 |) j: `$ c) b, D) U流行U盘病毒清理批处理* C! ^6 @. r& V! }1 s0 T/ q

$ I: `8 v6 k1 h$ Y) O
& q( z2 z0 ?6 G6 y8 E2 g* Q(注:部分中毒主机运行需要稍长一段时间,请耐心等待。)( U! w1 f* o3 e9 I* s4 G% C1 k
0 z, X1 Y4 q) _' K, S
1 A+ P& e1 h+ d& x. `3 k% F$ O) u
未知U盘病毒的提取
; ~% m, M8 H/ n1 Y( w9 W8 E$ c( y1 [- @6 e9 Z/ v' v, F. `" l2 `
U盘病毒以及变种都非常多,本文提供的批处理仅处理最近比较流行的几个并定期更新。如果毒霸最新病毒库也无法查杀的话,请按照如下方法提交您的样本进行分析:
: D9 K1 [8 l! J: _1 g% H

0 l0 c0 m; q. q$ N* _$ a1.使用WinRAR浏览盘符可以看到盘符下隐藏的autorun.inf和病毒文件。
) S. [5 y* {- t0 l0 j浏览技巧:点击向上一级的箭头可以进入上一级目录,单纯提取样本的话输入盘符目录“X:”即可。(X表示要访问的盘符,两个引号不输入。)如图所示:6 I( ?2 {9 }7 h" o% X7 {
提取back.JPG

- }4 c/ o% d5 s' _# f
  d& L3 A) v  ?+ e2.全选病毒样本文件后添加压缩包,点击【高级】——【设置密码】——『输入密码』——【确定】如图所示:0 r) n% x2 K  L1 a: A: t
提取2.JPG
& t4 b4 ~. q9 s' x$ B; A

. w" @. [& M! Z6 g注意:密码设置建议使用123456如有修改,请在提交时注明解压密码。例如:解压密码为:papa。
  L- K! W1 z% c: ~: f" `
, E# }% p+ K' J4 k3 b: o" @4 {
7 s+ `6 f: i$ A3 t3 K
3.将对应盘符跟目录下新生成的RAR压缩包上传至论坛的可疑文件上传区发帖上传即可。
; |) y5 b. s. L3 d  D网址为:http://bbs.duba.net/forum-3252-1.html
0 [5 l) S# N0 C+ u& l

( h( V  m! h" o+ y7 {+ a( Z% ?
! x' w. G! ^1 D[ 本帖最后由 papa 于 2008-1-15 18:05 编辑 ]

Del_PUV1.6版.rar

2.41 KB, 下载次数: 342

上校

一个爱国分子

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

铜钱
201
元宝
271
威望
15385
积分
7119

枣泥月饼 豆沙月饼 星光奖 节庆图片奖

发表于 2007-12-8 11:39:08 |显示全部楼层

使用道具 举报

少尉

默哀

Rank: 10Rank: 10Rank: 10

铜钱
987
元宝
8
威望
4923
积分
2553

枣泥月饼 豆沙月饼 圣诞花环

发表于 2007-12-9 19:21:52 |显示全部楼层
很详细,学习* Y0 |$ \- _, _1 C1 _! h" Z9 t% S& l
最讨厌U盘的毒

使用道具 举报

Rank: 1

铜钱
23
元宝
0
威望
31
积分
16

枣泥月饼 豆沙月饼

发表于 2007-12-9 21:00:41 |显示全部楼层

用文件粉碎器不知道多少次。没有用啊。
9 ~. i$ `# ?) }) a自动下载了。。。

使用道具 举报

少将

勇敢的小兵

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

铜钱
4042
元宝
0
威望
23307
积分
11425

枣泥月饼 豆沙月饼 情感天使

发表于 2007-12-15 09:35:48 |显示全部楼层

使用道具 举报

Rank: 6Rank: 6

铜钱
82
元宝
2
威望
1931
积分
855

枣泥月饼 豆沙月饼 情感天使 圣诞礼盒

发表于 2007-12-20 12:00:29 |显示全部楼层
学习了,不过自己还没中过这么知名的毒呢,多亏了毒霸啊,哈哈哈、

使用道具 举报

Rank: 1

铜钱
29
元宝
0
威望
54
积分
28

枣泥月饼 豆沙月饼

发表于 2008-2-11 00:12:48 |显示全部楼层
学习了,不过一直认为U盘病毒还是很好防的,呵呵

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

Archiver|手机版|爱毒霸社区 ( 京ICP备10005744号 )  

GMT+8, 2012-2-9 20:48 , Processed in 0.480936 second(s), 25 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部