这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意。
File: Discovery.exe
Size: 74240 bytes
Modified: 2008年2月2日, 0:03:34
MD5: 2DA55F2A36E852EE6FC96D34DD520979
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1
CRC32: E20E292D
1.病毒运行后,衍生如下副本及文件:
%systemroot%\system32\Discovery.exe
各个分区根目录下生成AutoRun.inf,Discovery.exe达到通过U盘传播的目的。
并每隔一段时间检测它们是否存在,如不存在,则立即回写
2.启动两个空壳的隐藏进程svchost.exe,把病毒代码写入svchost.exe的内存,且两个进程相互监视,然后discovery.exe自身退出
3.创建注册表项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe 达到开机启动自身的目的
4.删除如下键破坏安全模式
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\
SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\
5.破坏显示隐藏文件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000000
6.试图结束很多安全软件进程
比如:360rpt.exe
360Safe.exe
360tray.exe
srengps.exe
Ravmond.exe
rfwsrv.exe
rfwmain.exe
....
7.添加映像劫持项目劫持如下进程(包括但不限于)
360rpt.exe
360Safe.exe
360tray.exe
ackwin32.exe
adam.exe
ADVXDWIN
AgentSvr.exe
alertsvc.exe
ALOGSERV
amon.exe
AMON9X
anti - trojan.exe
antivir
ANTS
AppSvc32.exe
apvxdwin.exe
arvmon.exe
ATCON
ATUPDATER
ATWATCH
autodown.exe
AutoGuarder.exe
autoruns.exe
AutoTrace
avconsol.exe
ave32.exe
AVGCC32
avgctrl.exe
avgrssvc.exe
AvgServ
AVGSERV9
AVGW
avkpop
AvkServ
avkserv.exe
avkservice
avkwctl9
AvMonitor.exe
Avnt.exe
avp.com
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
AVWINNT
avwupd32.exe
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
blackd.exe
blackice.exe
BullGuard
CCAPP.EXE
CCenter.exe
ccSvcHst.exe
cfgWiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
...
8.查找如下窗口并模拟按键对付卡巴斯基杀毒软件
主动防御 警报
主动防御 警告
主动防御 信息
之后会查找“允许”“应用到所有”“跳过”的窗口 然后发送WM_LBUTTONDOWN,WM_LBUTTONUP的消息
9.启动一个iexplore.exe下载其他木马和病毒
之前会读取http://xxx.*.com/txt071219/208.txt的下载列表按照里面的文件列表下载病毒
10.另外还有感染htm,html,asp,aspx,php,jsp等网页文件的功能和锁定IE主页的功能,但测试中未发现
解决方法:
到down.45it.con下载Icesword和sreng
1.解压Icesword的压缩包 把Icesword.exe改名为1.com 运行
点击菜单栏的文件-设置 勾选禁止进线程创建的钩 然后确定
切换到进程一栏 找到红色的svchost.exe 依次结束这两个进程
点击左下角的文件按钮
进入文件列表
删除如下文件%systemroot%\system32\Discovery.exe
以及各个分区下面的Discovery.exe和autorun.inf(务必)
2.解压sreng 把srengps.exe改名为2.com 运行
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]
<%systemroot%\system32\Discovery.exe> []
