bsmain.exe 瑞星仇恨者查殺方法

這是一個模仿瑞星殺毒軟件的惡意程序，使用VB編寫，包括版本信息，文件圖標均和瑞星的文件一致，並試圖卸載瑞星殺毒軟件，覆蓋感染可執行文件。因此可以把它叫做“瑞星仇恨者”  

病毒具體分析如下：

Quote:
File: bsmain.exe
Size: 131072 bytes
File Version: 20.00
Modified: 2008年3月7日, 22:18:04
MD5: 1EFE96D8D20513351DB5C1681D7BBAFE
SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D


1.病毒初始化，試圖卸載瑞星殺毒軟件，首先嚐試直接啓動C:\Program Files\Rising\Rav\update\setup.exe,如果找不到則在註冊表中查找SOFTWARE\rising\Rav鍵，並利用RegQueryValueEx函數獲得該鍵下面的installpath信息，即瑞星的安裝路徑。之後會在後臺啓動瑞星安裝目錄下Update\Setup.exe的卸載程序，成功啓動後，會查找類名爲Button，窗口爲卸載(&U)的窗口，然後PostMessage發送消息，接着查找名爲“下一步(&N)”的窗口，再PostMessage模擬用戶按鍵發送消息，這樣就完成了模擬卸載的過程。

2.釋放如下文件或者副本：
C:\Windows\system32\bsmain.exe（病毒文件）
不斷的遍歷A-Z盤 查找可移動存儲設備，如果有則在其中生成bsmain.exe和autorun.inf達到隨移動存儲傳播的目的。

3.在註冊表中添加如下啓動項目

Quote:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
  [Beijing Rising Technology Co., Ltd.]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
      [Beijing Rising Technology Co., Ltd.]


以此達到開機啓動自身的目的

4.添加映像劫持項目劫持如下常見殺毒軟件

Quote:
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
AST.exe
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
ccSvcHst.exe
ceSword.exe
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
Ras.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
runiep.exe
safelive.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
UpLive.exe
USBCleaner.exe
vsstat.exe
webscanx.exe
WoptiClean.exe

劫持到C:\Windows\system32\bsmain.exe


5.遍歷非系統分區，覆蓋感染exe文件，被感染的文件無法修復。由於病毒本體採用瑞星殺毒軟件的圖標，所以被感染的文件也全變成瑞星殺毒軟件的模樣...

6.修改txt文件關聯指向C:\Windows\system32\bsmain.exe




解決辦法：

下載sreng：

1.打開sreng，啓動項目  註冊表 刪除如下項目 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
  [Beijing Rising Technology Co., Ltd.]

把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
shell值改爲explorer.exe

並刪除所有紅色的IFEO項目

系統修復－文件關聯 點擊修復 

2.雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件（推薦）"前面的鉤。在提示確定更改時，單擊“是” 然後確定
刪除C:\WINDOWS\system32\bsmain.exe

3.對於被覆蓋感染的exe文件，就只能全部刪除了...默哀吧...