6.15-6.26感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。
本周,利用flash漏洞传播的病毒木马明显上升,在google热搜榜上,ORZ.EXE病毒异军突起,该病毒会破坏多种杀毒软件,释放木马下载器。由木马下载器再完成其它更多木马和病毒的下载,导致系统损坏或盗号现象发生。
有关该病毒的更多信息,请参考:
ORZ病毒攻击实例及完整解决方案(毒霸修复工具见3楼)
http://bbs.duba.net/thread-21934256-1-1.html
和另一篇文章:警惕利用FLASH漏洞传播的对抗型“特务病毒”(orz.exe病毒)
http://bbs.duba.net/thread-21935583-1-1.html
对于此类病毒,您需要将磁碟机专杀和清理专家、毒霸联合使用。当毒霸被破坏不能正常升级时,可以从
http://bbs.duba.net/thread-21934256-1-1.html下载修复工具,以恢复毒霸的升级功能。
如果病毒严重破坏,导致桌面也不能正常登录,请参考下文完成修复
善用清理专家修复顽固病毒(开机进不了桌面)
http://bbs.duba.net/thread-21931759-1-1.html
论坛的
新手杀毒专区提供了更多对新会员很有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
以下是本周10大病毒列表:
1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。
病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
(1)病毒释放文件,然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll(如byhfjm.dll)
%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
%sys32dir%\{随机文件名}.sco(如byhfjm.sco)
%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)
(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb
(3)病毒尝试添加一个系统服务rtltvb
服务名:rtltvb
描述:Microsoft .NET Framework TPM
显示名称:rtltvb
映像路径:%sys32dir%\svchost.exe -k rtltvb
启动类型:自动
(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"
(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net(2**.2*7.17.2*6)
查毒日志类似于
引用:
病毒在文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2中 Win32.Troj.UndefT.js.13264
病毒 2008-06-23 12:18:32 病毒在文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2中 Win32.Troj.UndefT.js.13264 处理成功(操作:删除)
这是一个广告软件,金山毒霸病毒信息库08.06.24.10版本可查杀,该广告软件刚出现就占据排行榜的第三位,非常值得关注。
4.Win32.RiskWare.Shutdown.c.45056
这是一个风险程序,该程序和病毒木马不同,不具备破坏性。查毒日志类似于
引用:
风险程序 2008-02-16 08:54:55 C:\windows\快速关机(Ctrl+Alt+End).exe Win32.RiskWare.Shutdown.c.45056 隔离成功
这也是个风险程序
日志类似于
引用:
风险程序 2007-09-30 09:36:57 C:\Program Files\Freesoft\tools\快速重启.exe Win32.HackTool.RebootOS.16384 隔离成功
这是个木马下载器,毒霸病毒信息库08.06.18.10版本可查杀
查毒日志类似于
引用:
病毒 2008-06-24 09:18:23 C:\HellBoy.rar\HellBoy\HellBoyDll.dat Win32.Troj.Agent.ks.57344 跳过,未处理
引用:
C:\WINDOWS\HellBoy\HellBoyDll.dat Win32.Troj.Agent.ks.57344
C:\WINDOWS\HellBoy\HellBoyMain.exe Win32.Hack.Rootkit.57344
C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP112\A0087296.exe Win32.Hack.Rootkit.57344
这是一个盗号木马,通常是病毒下载器的产物,升级到金山毒霸病毒信息库08.06.23.10版本可查杀
查杀日志类似于
引用:
病毒 2008-06-22 15:48:29 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\678RSBUD\r2[1].exe Win32.Troj.OnlineGamesT.ea.119304 清除成功
这是一个广告软件,毒霸06.10.27.10版本可以查杀,老病毒泛滥显然是木马下载器的功劳。
查毒日志类似于
引用:
金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序 2008-02-03 20:16:12 C:\Program Files\WinKld\Winkld.dat Win32.Adware.ADLoad.y.122880 操作失败
可尝试使用金山清理专家百宝箱,文件粉碎器,将这个dat文件彻底删除。
9.Win32.Troj.OnlienGamesT.ny.254464
这是一个盗号木马,毒霸病毒信息库08.06.14.10版本可查杀。这是木马下载器的产物,通常发现这个病毒的机器上还能发现更多的其它病毒。
查毒日志类似于
引用:
病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432 发现病毒
病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432_Failed 操作失败
病毒 2008-06-22 15:47:42 C:\windows\temp\~f8.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f7.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f6.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f5.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f4.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f3.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f2.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f1.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
在这样的电脑上,金山清理专家可发现若干恶意软件被安装
引用:
信息 2008-06-22 15:45:11 发现恶意软件:恶意软件残留的注册表项
信息 2008-06-22 15:45:11 发现恶意软件:恶意执行挂钩
信息 2008-06-22 15:45:11 发现恶意软件:严重漏洞(Adobe flash player)
信息 2008-06-22 15:45:11 发现恶意软件:logogo(Troj.AgentT.ge)
信息 2008-06-22 15:45:11 发现恶意软件:未知的AppInit_Dll
信息 2008-06-22 15:45:11 发现恶意软件:未知的ShellExecuteHooks
信息 2008-06-22 15:45:11 发现恶意软件:被感染的lsass.exe
信息 2008-06-22 15:45:11 发现恶意软件:PopWinIe_B(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:nod32ui(Worm)
信息 2008-06-22 15:45:11 发现恶意软件:xuedfvs(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:AV 终结者(Troj)
信息 2008-06-22 15:45:11 发现恶意软件:OSO蠕虫
应该将金山清理专家和磁碟机专杀以及毒霸主程序查杀相结合来清除这些病毒。
10.Win32.Adware.Ejik.gy.228352
这是一个广告软件,毒霸病毒信息库08.06.18.10版本可查杀。
针对流行病毒的解决方案:
请参考以下内容,感染的病毒现象可能稍有不同,但处理的思路大同小异,请读者从中找到处理病毒的规律:
http://bbs.duba.net/thread-21902724-1-1.html
http://bbs.duba.net/thread-21896365-1-1.html
有关此类病毒的预防
参考“狗犬不惊”之防狗秘笈(
http://bbs.duba.net/thread-21893089-1-1.html)
