Worm.Win32.AutoRun.bqn病毒分析解決
一、病毒相關分析:
病毒標籤:
病毒名稱:Worm.Win32.AutoRun.bqn
病毒類型:蠕蟲
危害級別:2
感染平臺:Windows
病毒大小:21,504(字節)
SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6
加殼類型:PECompact V2.X-> Bitsum Technologies
開發工具:Microsoft Visual Basic 5.0 / 6.0
病毒行爲:
1、程序運行後,釋放副本
%SystemRoot%\EXPL0RER.EXE
和
%SystemRoot%\autorun.inf
autorun.inf內容:
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打開(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=EXPL0RER.EXE
根據文件夾名來感染生成 對應的 目錄名.exe
然後添加文件夾屬性爲 只讀,系統,隱藏。不顯示隱藏文件的效果是真實的文件夾全沒了。
你看到的文件夾圖標的都是病毒,因爲病毒的圖標是文件夾。
篡改註冊表,不顯示隱藏文件、系統文件和擴展名。
註冊表主要變化:
修改值:65
Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"
新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Directory\shell\: "none"
新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Drive\shell\: "none"
新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002
新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
二、解決方案
下載使用 wsyscheck ,打開 wsyscheck.exe ,進程管理--結束病毒進程EXPL0RER.EXE並刪除。
1.SREng修復文件關聯 系統修復--文件關聯--全選--自動修復
2.修復磁盤打開方式、文件夾打開方式
Quote:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]
3.顯示系統文件、隱藏文件、顯示隱藏文件夾
Quote:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
殺毒軟件全盤掃描
使用第三方工具去掉各分區下被隱藏的文件夾,主要是去掉 系統屬性
Worm.Win32.AutoRun.bqn病毒分析解決
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
解密後綴phobos勒索病毒 解密成功
染血的精靈
2019-02-24 13:35:07
華爲3COM交換機防病毒策略
god9394
2019-02-24 13:04:19
詳細瞭解查殺病毒的技巧
lichenjing9
2019-02-23 14:06:52
新型病毒可躲過殺毒軟件 已感染7.5萬臺PC
jkxuser
2019-02-23 13:49:04
域內有個病毒,是由X軟件生成的,怎麼刪除?
Hack38
2019-02-23 13:22:24
ARP病毒的分析與防治
fengyinbo923
2019-02-23 13:16:22
txplatform.exe分析及病毒解決
smallCrab2009
2019-02-23 13:10:47
用winhex恢復被“生成與原文件夾相同名字的exe文件“病毒破壞的數據
傾角45度半
2019-02-23 00:23:45
針對企業無線局域網的一些簡單要求與建議~
xuqinyu521
2019-02-23 00:21:17
史上最牛的10大計算機病毒
喜歡寧靜
2019-02-23 00:13:16
【原創:讓我們一起踏上***的征途】——第二課 病毒在我電腦裏幹了什麼?
sinauc
2019-02-22 23:45:19
mravsc32.exe簡單分析(魔波病毒)
孤獨更可靠
2019-02-22 23:37:07
你的公司有如下的症狀嗎?
lzw119
2019-02-22 23:19:16