3-9-3.15感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:
关于清理专家反复报告发现某恶意软件的处理办法
论坛的
新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
近期机器狗病毒、AV终结者病毒、磁碟机病毒混合入侵的情况较多,从我们统计的结果看机器狗病毒有明显减弱,磁碟机病毒已经取代了机器狗的影响,这两个病毒仍是近2周内感染量上升最快的。
1.磁碟机病毒家族(Worm.Vcting)
详细信息,参阅
http://bbs.duba.net/thread-21896365-1-1.html
2.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)
详细信息,请参考机器狗病毒的详细技术分析
http://bbs.duba.net/thread-21891440-1-1.html
3.JS.Iframe.ee.31脚本病毒
[脚本病毒通常感染网页文件,通常是html和htm格式。升级到毒霸07.12.19.10版本,可查杀该病毒。
染毒日志类似于
引用:
病毒 2008-01-17 14:40:36 E:\qq2007\QLiveQ\LogeAd_mini.htm JS.Iframe.ee.31 清除成功
病毒 2008-01-17 14:40:36 E:\qq2007\QLiveQ\LogeAd.htm JS.Iframe.ee.31 清除成功
病毒 2008-01-17 14:40:35 E:\qq2007\Dat\wireless_giftbox.htm JS.Iframe.ee.31 清除成功
病毒 2008-01-17 14:40:35 E:\qq2007\Dat\TUserInfoQQ.htm JS.Iframe.ee.31 清除成功
这是一个老病毒,是偷QQ号的,06年8月10日以后的版本均可查杀,该病毒能入侵电脑,磁碟机或机器狗这些木马下载器泛滥功不可没。
5.Win32.Troj.OnlineGamesT.ty.90112
网游盗号木马,查毒日志类似于
引用:
病毒 2007-12-10 22:05:58 C:\WINDOWS\SYSTEM32\GDZYHXI32.DLL Win32.Troj.OnlineGamesT.ty.90112 清除成功
在木马下载器未彻底清除时,可能会反复发现该木马。
6.Win32.Troj.Delf.PG.22684
这是一个盗号木马程序,毒霸07.04.23.10版本即可查杀
老木马发作,又是磁碟机或机器狗的附属产物
7.Win32.Troj.QQPass.aa.38400
这是一个盗QQ号的木马,升级到07年4月6日,即可查杀。其破坏行为和AV终结者类似,只不过自身不是下载器。
病毒行为:
引用:
1、释放以下文件并设置为隐藏和系统属性。
%WINDIR%\system32\bryato.dll
%WINDIR%\system32\bryato.exe
%WINDIR%\system32\severe.exe
%WINDIR%\system32\drivers\conime.exe
%WINDIR%\system32\drivers\fubcwj.exe
2、在每个分区的根目录下生成文件:Autorun.inf 和病毒复制体:OSO.exe ,并修改相关注册表项以使用户双击打开该分区时运行病毒体:
修改的注册表项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun 0xB5
Autorun.inf内容如下:
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
3、添加或修改注册表项以隐藏病毒文件:
HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\CheckedValue "0"
4、添加以下注册表项以达到自启动的目的。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\fubcwj "%WINDIR%\System32\bryato.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\bryato "%WINDIR%\System32\severe.exe"
5、修改以下注册表项以达到随Explorer进程启动的目的:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "Explorer.exe %WINDIR%\System32\drivers\conime.exe"
6、添加以下注册表项来重定向相关安全软件到病毒文件以达到阻止其运行的目的
7、修改hosts文件以达到阻止用户访问安全网站的目的
8、查找含有以下字符串的窗口,找到则将其关闭:
杀毒、专杀、病毒、木马、注册表
9、停止并禁用以下安全服务:
10、终止安全软件相关进程:
11、删除QQ的以下文件:
QLiveUpdate.exe、BDLiveUpdate.exe、QUpdateCenter.exe
12、创建键盘和鼠标消息钩子,寻找QQ登陆窗口,记录键盘,获得用户密码后通过自身的邮件引擎发送到指定邮箱。
这是盗窃梦幻西游帐号的木马,病毒现象为:
引用:
重装系统后双击磁盘打不开(只能右键点打开),然后毒霸提示病毒Win32.Troj.Xiyout.uv.19972中毒文件在c: windows/system32/zxhpri.dll.该文件不能删除。
这是网游盗号木马
10.Win32.Troj.LwyLoad.a.546
这是一个感染型木马,会感染几乎所有EXE文件
清除病毒之后,可能会有部分EXE程序不可用,被病毒破坏的EXE可能需要修复安装。
病毒行为:
引用:
该病毒会下载海量病毒文件,在各盘生成AUTO病毒。该病毒还会主动感染其他的可执行文件,被感染的文件只要用户打开,立即再次激活该病毒。下载的病毒还具有盗号的功能,盗取的网络游戏范围很广,网游帐户持有者需特别注意。该病毒还有映像劫持的功能,众多著名的反病毒软件和安全软件都会被劫持。
本周严重流行的病毒以磁碟机、机器狗为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。
木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。
详情,请参阅:
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(
http://bbs.duba.net/thread-21893089-1-1.html)
