2007/04/28
开机弹出无标题的记事本——后续分析
关键字词: wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj
由于成功获取wincfgs.exe样本文件,可以准确分析此样本行为,在此谢谢Zhengxin朋友提供样本。
实际情况和《开机弹出无标题的记事本》一文分析的那样差不多,只是有些细节需要说明一下。
此样本有如下行为:
【创建注册表项】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名为Load注册表键的键值内容为“C:\windows\system32\wincfgs.exe”
【创建文件】
C:\WINDOWS\system32\wincfgs.exe(注释:和在移动存储设备中的autorun.exe是同一个文件)
C:\WINDOWS\KB20060111.exe(注释:纯粹是一个记事本程序)
【写入移动存储设备】
在移动存储设备中生成autorun.inf,其中的内容为
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
----------------------------------------------------
并且在移动存储设备中生成名为RECYCLER的文件夹,在其下再生成名为RECYCLER的文件夹,在这个文件夹下生成desktop.ini文件,内容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
这个desktop.ini将第二个RECYCLER文件夹伪装成回收站,在第二个RECYCLER文件夹中便存储着autorun.exe文件。
正是当接入移动存储设备后autorun.inf文件激活autorun.exe文件以至于中毒。
前文猜测这仅仅是一个Joke程序,但由于行为特点,被众多安全厂商定义为Worm(蠕虫病毒)。
此病毒的解决方法:
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.清空注册表键值内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load注册表键里的键值内容。(请不要将Load注册表键一并删除)
2、删除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe
清理被感染的移动存储设备的方法:
删除移动存储设备下的autorun.inf文件,删除移动存储设备下的RECYCLER文件夹。
autorun.inf和RECYCLER文件夹均被隐藏,请先设置显示所有文件和文件夹选项才可以看到并删除。
国产三大(江民KV、瑞星、金山毒霸)均可查杀此蠕虫病毒/USB间谍,国外的Antivir、BitDefender、Dr.Web(驱逐舰)、卡巴斯基等均可查杀,使用这些安全软件的用户可以查杀并防御。
发表评论