首頁|退出

12月13日病毒播報


發布者:網安網  發布時間:2012/12/14 11:52:00  閱讀:31888

病毒描述

病毒名稱    :  Virus/Autorun.ke
文件MD5     :  F0A283036A1D7AD60E5FCA1712826CEC
文件大小    :  142,864 字節
編寫環境    :  C++
是否加殼    :  是(PEPACK)


文檔公開級別 : 完全公開


病毒執行體描述:

     Virus/Autorun.ke 病毒是感染性質的下載者病毒,對系統的破壞性很大,感染所有磁盤,并感染所有網頁文件插入"Iframe"的外部鏈接,用戶中毒后機器會變得非常卡,此病毒會以最高權限對系統進行操作,修改注冊表,感染磁盤文件,下載網絡上新的病毒變種,復制自身到其他目錄下添加AutoRun.inf配置文件對文件夾進行劫持,當移動設備插入到主機上,打開本地磁盤會繼續感染到移動設備磁盤,是一個持續感染的病毒,當進駐到操作系統里以后會把自身復制到系統目錄下重命名為"SVSHOST.EXE"來混淆用戶。原文件會釋放自刪除腳本刪除。


病毒行為流程分析:

一.傳播途徑
   通過對Virus/Autorun.ke病毒的深入分析,發現病毒每次被運行的時候都會檢測當前注冊表項中是否有啟動項"SVSHOST.EXE",如果已檢測到有此項,則退出。沒有檢測到此項則復制自身到系統目錄下命名為"SVSHOST.EXE",并創建進程"SVSHOST.EXE"。Virus/Autorun.ke 以"SVSHOST.EXE"名稱執行后,則開始搭建重啟運行環境,將自身添加到注冊表"Run"啟動項中。檢測IE注冊表項,把默認主頁設置為"http://127.0.0.1",關閉Windwos自動更新的注冊表項。創建批處理文件,自刪原來的Virus/Autorun.ke 病毒體,病毒已經為自身復制了一份"SVSHOST.EXE",原來的將被刪除。

二、執行流程
    Virus/Autorun.ke 病毒自身復制到System32目錄下,啟動后會修改注冊表,遍歷磁盤文件,感染磁盤里所有的網頁文件添加"iframe" 外部調用,對系統根目錄下釋放"AutoRun.inf",將自身復制與"AutoRun.inf"文件相同目錄下命名為"lcg.exe"。完成感染環境的搭建后開啟線程重復檢測磁盤根目錄下的"AutoRun.inf",如果沒有就進行釋放。

病毒技術要點
 Virus/Autorun.ke 病毒是自我復制,自我傳播型病毒的典型,從自我復制對系統的啟動調用,添加開機啟動,感染系統所有磁盤,混淆創建"SVSHOST.EXE"來進行啟動。

病毒清理流程
1. Virus/Autorun.ke 病毒的特征中毒后機器變慢,檢測磁盤根目錄下是否有隱藏的AutoRun.inf,并伴有lcg.exe。
2. 再通過安全軟件查看系統里是否有SVSHOST.EXE的進程,如果發現應先結束該進程,通過資源管理器打開磁盤目錄,刪除里面的Autorun.inf 和lcg.exe(每個磁盤根目錄都要操作)。在系統System32目錄下搜索SVSHOST.EXE,找到后刪除,在注冊表中刪除對應的項。

【來源:江民科技】


技術支持:  深圳市計算機安全應急服務中心
廣東安證計算機司法鑒定所
版權所有 2008-2009 © 中國網絡安全保障服務網 All Right Reserved
粵ICP備09101699號-6  

粵公網安備 44030502000970號

   
31选7中奖规则及奖金