|
|
<BR><P><FONT size=3><STRONG>Trojan.IMMSG.Win32.TBMSG.ygt病毒中毒症状:</STRONG></FONT></P>
<P><FONT size=2>一上网后一直跳出“<STRONG>Trojan.IMMSG.Win32.TBMSG.ygt</STRONG> ; <STRONG>Trojan.PSW.Win32.OnlineGames.yul</STRONG>" 这几个病毒,而且一杀就23个左右,都是这个,有时候正常操作的情况下,屏幕还会暗一下就回到桌面,就想重新启动一样。重装了还是解决不了问题。</FONT></P>
<P><FONT size=3><STRONG>Trojan.IMMSG.Win32.TBMSG.ygt病毒分析:</STRONG></FONT></P>
<P><FONT size=2>此病毒最近十分流行,究其原因就是大家不注意类似通过U盘传播的病毒的防护,拿来U盘(移动存储)设备就双击,导致病毒十分容易的通过U盘传播。<BR><FONT color=#ff0000>关于此类U盘病毒的防范方法见第4楼</FONT><BR><BR>此病毒的元凶为<STRONG>auto.exe</STRONG> 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后,在%system32%下面生成一个随机8个字母和数字组合成的exe文件<BR>并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程<BR><BR>以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称<BR><BR>并在每个磁盘的根目录下生成一个<STRONG>auto.exe</STRONG>和<STRONG>autorun.inf<BR></STRONG><BR>本例中生成物如下:<BR>C:\WINDOWS\system32\E2050308.DLL<BR>C:\WINDOWS\system32\F2F187EC.EXE<BR>注册为如下服务:B12E7AC4<BR><BR>连接网络下载木马,木马下载的种类千变万化,所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。<BR><BR><BR>本例中木马植入完毕以后生成如下文件<BR>C:\WINDOWS\system32\AVPSrv.dll<BR>C:\WINDOWS\system32\cmdbcs.dll<BR>C:\WINDOWS\system32\DbgHlp32.dll<BR>C:\WINDOWS\system32\DiskMan32.dll<BR>C:\WINDOWS\system32\Kvsc3.dll<BR>C:\WINDOWS\system32\mppds.dll<BR>C:\WINDOWS\system32\MsIMMs32.dll<BR>C:\WINDOWS\system32\nslookupi.exe<BR>C:\WINDOWS\system32\NVDispDrv.dll<BR>C:\WINDOWS\system32\upxdnd.dll<BR>C:\WINDOWS\system32\WinForm.dll<BR>C:\WINDOWS\AVPSrv.exe<BR>C:\WINDOWS\cmdbcs.exe<BR>C:\WINDOWS\DbgHlp32.exe<BR>C:\WINDOWS\DiskMan32.exe<BR>C:\WINDOWS\Kvsc3.exe<BR>C:\WINDOWS\mppds.exe<BR>C:\WINDOWS\MsIMMs32.exe<BR>C:\WINDOWS\NVDispDrv.exe<BR>C:\WINDOWS\upxdnd.exe<BR>C:\WINDOWS\WinForm.exe<BR>...<BR><BR>对应的sreng日志如下:<BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]<BR><mppds><C:\WINDOWS\mppds.exe> []<BR><Kvsc3><C:\WINDOWS\Kvsc3.exe> []<BR><DiskMan32><C:\WINDOWS\kterzx.exe> []<BR><WinForm><C:\WINDOWS\WinForm.exe> []<BR><AVPSrv><C:\WINDOWS\AVPSrv.exe> []<BR><MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []<BR><cmdbcs><C:\WINDOWS\cmdbcs.exe> []<BR><DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []<BR><upxdnd><C:\WINDOWS\upxdnd.exe> []<BR><NVDispDrv><C:\WINDOWS\kterzx.exe> []<BR>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]<BR><MSDWG32><LYLoadbr.exe> [N/A]<BR><MSDCG32 ><LYLeador.exe> [N/A]<BR><MSDOG32><LYLoador.exe> [N/A]<BR><MSDSG32><LYLoadar.exe> [N/A]<BR><MSDMG32><LYLoadmr.exe> [N/A]<BR><MSDHG32><LYLoadhr.exe> [N/A]<BR><MSDQG32><LYLoadqr.exe> [N/A]<BR>==================================<BR>服务<BR>[B12E7AC4 / B12E7AC4][Stopped/Auto Start]<BR><C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation><BR>==================================<BR>正在运行的进程<BR>[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]<BR>[C:\WINDOWS\system32\mppds.dll] [N/A, ]<BR>[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]<BR>[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]<BR>[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]<BR>[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]<BR>[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]<BR>[C:\WINDOWS\system32\WinForm.dll] [N/A, ]<BR>[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]<BR>[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]<BR>[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]<BR>[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]<BR>==================================<BR>Autorun.inf<BR>[C:\]<BR>[AutoRun]<BR>open=auto.exe<BR>shellexecute=auto.exe<BR>shell\Auto\command=auto.exe<BR>[D:\]<BR>[AutoRun]<BR>open=auto.exe<BR>shellexecute=auto.exe<BR>shell\Auto\command=auto.exe<BR>[E:\]<BR>[AutoRun]<BR>open=auto.exe<BR>shellexecute=auto.exe<BR>shell\Auto\command=auto.exe </p><p align='center'><b><font color='red'>[1]</font> <a href='http://www.hotbus.cn/it/200710/3615_2.html'>[2]</a> <a href='http://www.hotbus.cn/it/200710/3615_3.html'>[3]</a> <a href='http://www.hotbus.cn/it/200710/3615_2.html'>下一页</a> </b></p> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡