最近有很多人中了這個“禽獸”病毒，之所以叫做“禽獸”病毒是因為病毒運行后，文件夾選項中隱藏文件的文字內(nèi)容被修改成了“禽獸尚且有半點憐憫之心，而我一點沒有，所以我不是禽獸?！?

這個病毒其實就是原先分析的niu.exe的變種,不過此次變種變化巨大 增加了很多新的“功能”,中毒者在禽獸病毒和其他一些木馬的“幫助”下 系統(tǒng)將完全處于無保護的狀態(tài).在沒有任何工具的情況下 救活系統(tǒng)的可能性幾乎為0


　　此病毒的幾大罪狀如下：
　　1.破壞安全模式 禁用系統(tǒng)的一些自我保護功能（自動更新，防火墻等）
　　2.IFEO映像劫持殺毒軟件以及常用安全工具
　　3.禁用任務管理器
　　4.修改主頁
　　5.關閉帶有“殺毒”等字樣的窗口
　　6.感染html等網(wǎng)頁文件
　　7.刪除gho文件，使用戶無法還原系統(tǒng)
　　8.U盤傳播
　　9.瘋狂下載多種木馬和流氓軟件（多達20多種木馬）


　　下面是病毒的具體分析

1.釋放如下文件：
%system32%\crsss.exe
在每個分區(qū)下面生成autorun.inf 和niu.exe
2.調(diào)用reg.exe進行如下操作：

添加自身啟動項目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D

禁用windows自動更新
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f

禁用任務管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f

破壞顯示隱藏文件 并將選項名稱改為“禽獸尚且有半點憐憫之心,而我一點沒有,
所以我不是禽獸”
delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 禽獸尚且有半點憐憫之心,而我一點沒有,所以我不是禽獸. /f
破壞安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持項目指向%system32%\crsss.exe（篇幅所限，僅貼圖）

最新評論