這是之前niu.exe病毒的最新變種，最近該病毒的新變種傳播又有所抬頭，希望大家注意。


Quote:
File: Discovery.exe
Size: 74240 bytes
Modified: 2008年2月2日, 0:03:34
MD5: 2DA55F2A36E852EE6FC96D34DD520979
SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1
CRC32: E20E292D


1.病毒運(yùn)行后，衍生如下副本及文件：

Quote:
%systemroot%\system32\Discovery.exe

各個(gè)分區(qū)根目錄下生成AutoRun.inf，Discovery.exe達(dá)到通過(guò)U盤(pán)傳播的目的。

并每隔一段時(shí)間檢測(cè)它們是否存在，如不存在，則立即回寫(xiě)
2.啟動(dòng)兩個(gè)空殼的隱藏進(jìn)程svchost.exe，把病毒代碼寫(xiě)入svchost.exe的內(nèi)存，且兩個(gè)進(jìn)程相互監(jiān)視，然后discovery.exe自身退出

3.創(chuàng)建注冊(cè)表項(xiàng)目

Quote:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr 指向%systemroot%\system32\Discovery.exe

達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的

4.刪除如下鍵破壞安全模式

Quote:
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ 
SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\

 
5.破壞顯示隱藏文件

Quote:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改為0x00000000

 
6.試圖結(jié)束很多安全軟件進(jìn)程

Quote:
比如：360rpt.exe
360Safe.exe
360tray.exe
srengps.exe
Ravmond.exe
rfwsrv.exe
rfwmain.exe
....


7.添加映像劫持項(xiàng)目劫持如下進(jìn)程（包括但不限于）

Quote:
360rpt.exe
360Safe.exe
360tray.exe
ackwin32.exe
adam.exe
ADVXDWIN
AgentSvr.exe
alertsvc.exe
ALOGSERV
amon.exe
AMON9X
anti - trojan.exe
antivir
ANTS
AppSvc32.exe
apvxdwin.exe
arvmon.exe
ATCON
ATUPDATER
ATWATCH
autodown.exe
AutoGuarder.exe
autoruns.exe
AutoTrace
avconsol.exe
ave32.exe
AVGCC32
avgctrl.exe
avgrssvc.exe
AvgServ
AVGSERV9
AVGW
avkpop
AvkServ
avkserv.exe
avkservice
avkwctl9
AvMonitor.exe
Avnt.exe
avp.com
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
AVWINNT
avwupd32.exe
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
blackd.exe
blackice.exe
BullGuard
CCAPP.EXE
CCenter.exe
ccSvcHst.exe
cfgWiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
...




8.查找如下窗口并模擬按鍵對(duì)付卡巴斯基殺毒軟件

Quote:
主動(dòng)防御 警報(bào)
主動(dòng)防御 警告
主動(dòng)防御 信息

 
之后會(huì)查找“允許”“應(yīng)用到所有”“跳過(guò)”的窗口 然后發(fā)送WM_LBUTTONDOWN，WM_LBUTTONUP的消息

9.啟動(dòng)一個(gè)iexplore.exe下載其他木馬和病毒
之前會(huì)讀取http://xxx.*.com/txt071219/208.txt的下載列表按照里面的文件列表下載病毒

10.另外還有感染htm,html,asp,aspx,php,jsp等網(wǎng)頁(yè)文件的功能和鎖定IE主頁(yè)的功能，但測(cè)試中未發(fā)現(xiàn)

解決方法：

 
1.解壓Icesword的壓縮包 把Icesword.exe改名為1.com 運(yùn)行
點(diǎn)擊菜單欄的文件－設(shè)置 勾選禁止進(jìn)線程創(chuàng)建的鉤 然后確定

切換到進(jìn)程一欄 找到紅色的svchost.exe 依次結(jié)束這兩個(gè)進(jìn)程

點(diǎn)擊左下角的文件按鈕
進(jìn)入文件列表
刪除如下文件%systemroot%\system32\Discovery.exe
以及各個(gè)分區(qū)下面的Discovery.exe和autorun.inf（務(wù)必）

2.解壓sreng 把srengps.exe改名為2.com 運(yùn)行
啟動(dòng)項(xiàng)目  注冊(cè)表 刪除如下項(xiàng)目 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Discoverr]
    <%systemroot%\system32\Discovery.exe>  []

并刪除所有紅色的IFEO項(xiàng)目

系統(tǒng)修復(fù)－Windows Shell/IE 全選 點(diǎn)擊修復(fù)按鈕
高級(jí)修復(fù)－修復(fù)安全模式

3.使用殺毒軟件或者手動(dòng)方法查殺其他下載的病毒或木馬

最新評(píng)論