Worm.Win32.AutoRun.bqn病毒分析解決

原創 神馬文庫 2018-10-25 21:45
Worm.Win32.AutoRun.bqn病毒分析解決 一、病毒相關分析: 
      病毒標籤:
        病毒名稱:Worm.Win32.AutoRun.bqn 
        病毒類型:蠕蟲
        危害級別:2
        感染平臺:Windows
        病毒大小:21,504(字節)
        SHA1  :01015B9F9231018A58A3CA1B5B6A27C269F807E6
        加殼類型:PECompact V2.X-> Bitsum Technologies
        開發工具:Microsoft Visual Basic 5.0 / 6.0

     病毒行爲:
        1、程序運行後,釋放副本

      %SystemRoot%\EXPL0RER.EXE


     %SystemRoot%\autorun.inf

     autorun.inf內容:

 
Quote:
[autorun]
open=EXPL0RER.EXE
shell\open=打開(&O)
shell\open\Command=EXPL0RER.EXE
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=EXPL0RER.EXE 



根據文件夾名來感染生成 對應的 目錄名.exe
然後添加文件夾屬性爲 只讀,系統,隱藏。不顯示隱藏文件的效果是真實的文件夾全沒了。
你看到的文件夾圖標的都是病毒,因爲病毒的圖標是文件夾。
篡改註冊表,不顯示隱藏文件、系統文件和擴展名。

註冊表主要變化:

修改值:65 

Quote:
新 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"

新 HKLM\SOFTWARE\Classes\Directory\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Directory\shell\: "none"

新 HKLM\SOFTWARE\Classes\Drive\shell\: "open"
舊 HKLM\SOFTWARE\Classes\Drive\shell\: "none"

新 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"
舊 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

新 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002
舊 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

 


  二、解決方案

  下載使用 wsyscheck ,打開 wsyscheck.exe ,進程管理--結束病毒進程EXPL0RER.EXE並刪除。


  1.SREng修復文件關聯   系統修復--文件關聯--全選--自動修復

  2.修復磁盤打開方式、文件夾打開方式


Quote:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell]
@="none"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\explore]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\open]





3.顯示系統文件、隱藏文件、顯示隱藏文件夾


Quote:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002



殺毒軟件全盤掃描

使用第三方工具去掉各分區下被隱藏的文件夾,主要是去掉 系統屬性
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

解密後綴phobos勒索病毒 解密成功

染血的精靈 2019-02-24 13:35:07

華爲3COM交換機防病毒策略

god9394 2019-02-24 13:04:19

詳細瞭解查殺病毒的技巧

lichenjing9 2019-02-23 14:06:52

新型病毒可躲過殺毒軟件 已感染7.5萬臺PC

jkxuser 2019-02-23 13:49:04

域內有個病毒,是由X軟件生成的,怎麼刪除?

Hack38 2019-02-23 13:22:24

ARP病毒的分析與防治

fengyinbo923 2019-02-23 13:16:22

txplatform.exe分析及病毒解決

smallCrab2009 2019-02-23 13:10:47

淺談BO***程序

zhumj1985 2019-02-23 12:49:36

用winhex恢復被“生成與原文件夾相同名字的exe文件“病毒破壞的數據

傾角45度半 2019-02-23 00:23:45

針對企業無線局域網的一些簡單要求與建議~

xuqinyu521 2019-02-23 00:21:17

史上最牛的10大計算機病毒

喜歡寧靜 2019-02-23 00:13:16

【原創:讓我們一起踏上***的征途】——第二課 病毒在我電腦裏幹了什麼?

sinauc 2019-02-22 23:45:19

mravsc32.exe簡單分析(魔波病毒)

孤獨更可靠 2019-02-22 23:37:07

網絡安全威脅的類型

胡倫 2019-02-22 23:27:42

你的公司有如下的症狀嗎?

lzw119 2019-02-22 23:19:16