解读删除杀软文件和任意文件名Sreng的强势病毒

Sreng, 文件名, 强势, 解读, 删除

近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询，这些用户曾经尝试安装其他杀毒软件。如瑞星、卡巴、江民等，但很不幸的是杀毒软件的安装文件运行后便均被删除。更加有趣的是Sreng检测工具修改为任意名称后，刚一运行也立即在用户电脑上消失。

如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢？

————本文主要针对这些广大用户关注的疑点作出解释。

病毒做了什么：
根据样本提取的情况看，该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。

病毒共性：
就毒霸客服提取的病毒样本看，中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件，同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。
执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名，如：rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。
该主文件写入的随机启动注册表位置如下：
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad】

特别提示:不建议使用非官方版本的QQ程序，就像毒霸客服无法确认盗版毒霸的程序文件以及病毒库更新的来源一样。

毒霸的对策：
由于该病毒删除屏蔽了目前几乎所有主流杀毒软件以及检测工具这一特性，所以大多数一般用户选择了重装系统。金山客服中心对此类病毒一直保持着极高的关注度，目前已经提取到足够数量的病毒样本，并通过毒霸的更新对其免疫与查杀。毒霸客服对于已经遭遇此病毒的毒霸付费用户，已经提供了手动处理方案。

优质高效率的病毒库更新，使得金山毒霸领先其他反病毒厂商率先免疫查杀此类病毒。

病毒尝试加载注入时毒霸监控会有如下提示信息：

使用毒霸扫描会有类似检测结果：

毒霸用户遇到后的对策：
毒霸客服一直以来以认真负责、求实高效的工作作风长期帮助大量毒霸用户解决了大量疑难病毒问题以及进行病毒样本的提取工作。有着丰富的病毒处理经验与良好的客服服务意识。
如果毒霸正版付费用户遇到此类强势病毒无法处理的话，请与毒霸客服联系解决。
(注：为保证毒霸正版用户的权益，非毒霸用户请优先联系毒霸论坛解决。)

本人之前在本帖放置的多个更新版本的检测工具属于个人行为，与金山公司无关。该脚本工具调用了三方免费工具Autoruns以及EProcess辅助输出检测信息，以应对越来越多与杀软和检测工具对抗的病毒。检测内容不涉及用户隐私信息，且无任何盈利目的。目前已停止对之前版本的更新与在互联网上的发布，特此声明。

附件为加入免责声明以及部分内容修改的版本，同样与金山公司无关，属于个人行为。
下载附件后将“疑难病毒检测工具v1.0.exe.txt”或者“疑难病毒检测工具v2.0.exe.txt”的后缀.txt取消即可运行。完整运行前请留意免责声明，谢谢合作！
如无法显示后缀名，请打开【我的电脑】-【工具】-【文件夹选项】-【查看】-取消勾选『隐藏已知文件类型的扩展名』
之后点击【确定】即可查看文件扩展名。如图所示：

2008-1-10 00:39

疑难病毒检测工具v2.0.exe修改了部分输出方式，提供了对vista系统的支持以便兼容更多电脑。

[ 本帖最后由 papa 于 2008-1-14 11:09 编辑 ]

疑难病毒检测工具v1.0.exe.txt (289.68 KB)

疑难病毒检测工具v2.0.exe.txt (314.25 KB)

1 评分次数

我很赞同 威望 + 1

KSDB3320321

收藏分享评分

Papa_ZONE

解读删除杀软文件和任意文件名Sreng的强势病毒

谢了