Worm.Win32.AutoRun.bqn病毒分析解决
更新时间:2008年01月16日 19:56:54 作者:
Worm.Win32.AutoRun.bqn病毒分析解决
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud)
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.AutoRun.bqn
病毒类型:蠕虫
危害级别:2
感染平台:Windows
病毒大小:21,504(字节)
SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6
加壳类型:PECompact V2.X-> Bitsum Technologies
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、程序运行后,释放副本
%SystemRoot%\EXPL0RER.EXE
和
%SystemRoot%\autorun.inf
autorun.inf内容:
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打开(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPL0RER.EXE
根据文件夹名来感染生成 对应的 目录名.exe
然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
篡改注册表,不显示隐藏文件、系统文件和扩展名。
注册表主要变化:
修改值:65
Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"
新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Drive\shell\: "none"
新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
二、解决方案
下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。
1.SREng修复文件关联 系统修复--文件关联--全选--自动修复
2.修复磁盘打开方式、文件夹打开方式
Quote:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
3.显示系统文件、隐藏文件、显示隐藏文件夹
Quote:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
杀毒软件全盘扫描
使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性
病毒标签:
病毒名称:Worm.Win32.AutoRun.bqn
病毒类型:蠕虫
危害级别:2
感染平台:Windows
病毒大小:21,504(字节)
SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6
加壳类型:PECompact V2.X-> Bitsum Technologies
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、程序运行后,释放副本
%SystemRoot%\EXPL0RER.EXE
和
%SystemRoot%\autorun.inf
autorun.inf内容:
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打开(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPL0RER.EXE
根据文件夹名来感染生成 对应的 目录名.exe
然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
篡改注册表,不显示隐藏文件、系统文件和扩展名。
注册表主要变化:
修改值:65
Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"
新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Drive\shell\: "none"
新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
二、解决方案
下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。
1.SREng修复文件关联 系统修复--文件关联--全选--自动修复
2.修复磁盘打开方式、文件夹打开方式
Quote:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
3.显示系统文件、隐藏文件、显示隐藏文件夹
Quote:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
杀毒软件全盘扫描
使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性
您可能感兴趣的文章:
- python使用win32com在百度空间插入html元素示例
- win32使用openfilename浏览文件窗口示例
- python字符串加密解密的三种方法分享(base64 win32com)
- 如何使一个HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview实现FolderBrowerDialog 和动态获取系统图标(运用了Win32 dll类库)
- WMI中的Win32_PingStatus类(ping命令实现)
- nginx win32 版本静态文件测试 (Windows环境)
- win32安装配置非安装版的MySQL
- iis Win32状态数值(sc-win32-status)说明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
- 木马程序Trojan-Spy.Win32.Agent.cfu清除方法
- MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决
- 木马下载器Win32.TrojDownloader.Delf.114688
- recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法
- Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
- win32 api实现简单的消息窗口示例
相关文章
winsys16_070307.dll,WindowsUpdate.exe的清除方法
winsys16_070307.dll,WindowsUpdate.exe的清除方法...2007-03-03woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具
woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具...2007-05-05
最新评论