開機彈出無標題的記事本——後續分析
鍵字詞: wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj
由於成功獲取wincfgs.exe樣本文件,可以準確分析此樣本行為,在此謝謝Zhengxin朋友提供樣本。
實際情況和《開機彈出無標題的記事本》一文分析的那樣差不多,只是有些細節需要說明一下。
此樣本有如下行為:
【新增註冊表項】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名為Load註冊表鍵的鍵值內容為「C:\windows\system32\wincfgs.exe」
【新增文件】
C:\WINDOWS\system32\wincfgs.exe(註釋:和在移動儲存於設備中的autorun.exe是同一個文件)
C:\WINDOWS\KB20060111.exe(註釋:純粹是一個記事本程序)
【寫入移動儲存於設備】
在移動儲存於設備中產生autorun.inf,其中的內容為
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
----------------------------------------------------
並且在移動儲存於設備中產生名為RECYCLER的資料夾,在其下再產生名為RECYCLER的資料夾,在這個資料夾下產生desktop.ini文件,內容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
這個desktop.ini將第二個RECYCLER資料夾偽裝成資源回收桶,在第二個RECYCLER資料夾中便儲存於著autorun.exe文件。
正是當接入移動儲存於設備後autorun.inf文件啟動autorun.exe文件以至於中毒。
前文猜測這僅僅是一個Joke程序,但由於行為特點,被眾多安全廠商定義為Worm(蠕蟲病毒)。
此病毒的解決方法:
1、修改註冊表
a.執行「regedit」啟動註冊表編輯器;
b.清空註冊表鍵值內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load註冊表鍵裡的鍵值內容。(請不要將Load註冊表鍵一併移除)
2、移除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe
清理被感染的移動儲存於設備的方法:
移除移動儲存於設備下的autorun.inf文件,移除移動儲存於設備下的RECYCLER資料夾。
autorun.inf和RECYCLER資料夾均被隱藏,請先設定顯示所有文件和資料夾選項才可以看到並移除。
大陸三大(江民KV、瑞星、金山毒霸)均可查殺此蠕蟲病毒/USB間諜,國外的Antivir、BitDefender、Dr.Web(驅逐艦)、卡巴斯基等均可查殺,使用這些安全軟體的用戶可以查殺並防禦。
|