警惕蠕虫病毒Worm.Win32.AutoRun.dqf
Worm.Win32.AutoRun.dqf病毒属蠕虫类,病毒运行后复制自身到%System32%下,更名为exloroe.com;复制到%System32%\dllcache下,更名为lsoss.exe;复制自身到各个驱动器根目录下,更名为net.exe,并衍生autorun.inf文件,使病毒在用户双击打开驱动器时运行;删除%System32%目录下的cmd.exe和cmdl32.exe文件,修改注册表,清空注册表中的启动项、映像劫持项,添加新的启动项,删除注册表文件(.reg文件)的文件关联,试图禁用注册表,由于键值设置错误,未能成功;删除部分安全模式相关注册表项;修改系统文件、隐藏文件等文件的显示方式;通过修改注册表删除Windows XP的更新选项、禁用IE的Internet选项,进制用户进入MS-DOS模式;用户无法通过双击驱动器将其打开;遍历磁盘中所有.asp、.aspx、.htm、.html、.jsp、.php文件,在文件头部添加104个字节的网页地址,打开被感染的文件后将通过浏览器打开被感染文件头部的网页;遍历磁盘删除文件名前三位字符串为“cmd”且扩展名为exe的文件;对文件名起始字符串为Ipa、AV、av、N、K、MP、R、360,且属PE格式的文件进行修改;对扩展名为“.GHO”的文件进行删除,连接网络弹出挂马网页。
清除方案:
1、
使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL “进程管理”关闭病毒进程(选中两个进程一次删除)
1. exloroe.com
2. lsoss.exe
(2) 使用ATOOL“文件管理”删除病毒文件
3. %HomeDrive%\net.exe
4. %HomeDrive%\autorun.inf
5. %DriveLetter%\net.exe
6. %DriveLetter%\autorun.inf
7. %System32%\exloroe.com
8. %System32%\dllcadhe\lsoss.exe
(3) 删除病毒添加的注册表项,恢复病毒修改和删除的注册表项目
删除病毒添加的注册表项为:
9.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 10. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\NoCommon Groups]
11. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOld-App\Disabled]
12. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\WinOld-App\Disabled]
13. [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
恢复病毒修改的注册表项为:
14.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
15. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
16.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
17. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]
恢复病毒删除的注册表项为:
18.[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
19.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
20.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
21.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
22. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
23. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
相关链接参见http://www.antiy.com/security/report/20080509.htm
