Worm.Win32.AutoRun.bqn病毒分析解决
所属分类:
实用技巧 / 病毒查杀
阅读数:
699
收藏 0赞 0分享
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.AutoRun.bqn
病毒类型:蠕虫
危害级别:2
感染平台:Windows
病毒大小:21,504(字节)
SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6
加壳类型:PECompact V2.X-> Bitsum Technologies
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、程序运行后,释放副本
%SystemRoot%\EXPL0RER.EXE
和
%SystemRoot%\autorun.inf
autorun.inf内容:
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打开(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPL0RER.EXE
根据文件夹名来感染生成 对应的 目录名.exe
然后添加文件夹属性为 只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。
你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。
篡改注册表,不显示隐藏文件、系统文件和扩展名。
注册表主要变化:
修改值:65
Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"
新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
旧 HKLM\SOFTWARE\Classes\Drive\shell\: "none"
新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
旧 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
旧 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
二、解决方案
下载使用 wsyscheck ,打开 wsyscheck.exe ,进程管理--结束病毒进程EXPL0RER.EXE并删除。
1.SREng修复文件关联 系统修复--文件关联--全选--自动修复
2.修复磁盘打开方式、文件夹打开方式
Quote:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
3.显示系统文件、隐藏文件、显示隐藏文件夹
Quote:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
杀毒软件全盘扫描
使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉 系统属性
