|
|
<BR>
<P> TrojanSpy.USBSpy.a“USB间谍”变种a是一个由Delphi工具编写,经过UPX加壳,利用USB进行传播的间谍类木马。“USB间谍”变种a
<P> 运行后,修改注册表,实现开机自启。</P>
<P> 开机弹出记事本问题的解决方案</P>
<P> 在机房上网,极其容易造成因为一个人中毒的原因导致整个局域网都中招的连锁反应,这两天就碰见了一起"轻微"的中毒流行事件.</P>
<P> 不知道从哪天开始,好多人都反应一开机就弹出个无标题的记事本,但是运行msconfig启动项,又没的提示加载记事本,移动硬盘(或优</P>
<P> 盘)插到USB口时,点击盘符进入时,也会弹出空白记事本。偶尔系统反应较慢;虽然也不是严重影响系统的进程和运行速度,但老是这样,容易让</P>
<P> 人产生不爽的感觉.于是我上网查了下,找出了点门道来.(后面列出的数据大都出自网上:-)).</P>
<P> 由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的,所以导致根源应该在闪盘上所存储的文件。这个闪盘可能被感染有</P>
<P> 蠕虫病毒,在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况,不过蠕虫病毒至少需要激活,也就是执行一下这</P>
<P> 个蠕虫病毒.</P>
<P> [蠕虫简单分析]:</P>
<P> 蠕虫名称:Worm.Win32.Delf.aj(AVP)</P>
<P> 蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)</P>
<P> 蠕虫大小:47,104字节</P>
<P> 加壳方式:UPX</P>
<P> MD5:07adddef653a702b9a11edbcee07e82b</P>
<P> CRC32:100A382A</P>
<P> [发作现象]:</P>
<P> 电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件</P>
<P> [行为分析]:</P>
<P> 1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。</P>
<P> 2. 在系统中生成</P>
<P> C:\%system%wincfgs.exe(系统、隐藏、只读属性)</P>
<P> C:\%WINDOWS%KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)</P>
<P> 3. 在注册表中添加:</P>
<P> HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsLoad=“C:windowssystem32wincfgs.exe”</P>
<P> 4. 在移动设备中生成RECYCLERRECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。</P>
<P> autorun.inf的内容:</P>
<P> [autorun]</P>
<P> open=.RECYCLERRECYCLERautorun.exe</P>
<P> shell1=Open</P>
<P> shell1Command=.RECYCLERRECYCLERautorun.exe</P>
<P> shell2=Browser</P>
<P> shell2Command=.RECYCLERRECYCLERautorun.exe</P>
<P> shellexecute=.RECYCLERRECYCLERautorun.exe</P>
<P> autorun.exe同wincfgs.exe</P>
<P> desktop.ini的内容:</P>
<P> [.ShellClassInfo]</P>
<P> CLSID={645FF040-5081-101B-9F08-00AA002F954E}</P>
<P> 由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。</P>
<P> 开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼</P>
<P> 叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就</P>
<P> 是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设</P>
<P> 备可能会再次传染这个移动存储设备。</P>
<P> [修改办法]</P>
<P> 1、修改注册表</P>
<P> a.运行“regedit”启动注册表编辑器;</P>
<P> b.分别删除注册表项</P>
<P> HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows</P>
<P> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows</P>
<P> 下的Load注册表键里的键值内容。</P>
<P> 不放心的话可以搜索“wincfgs.exe”的注册表键并删除之</P>
<P> 2、删除文件</P>
<P> %SystemRoot%system32wincfgs.exe</P>
<P> %SystemRoot%KB20060111.exe</P>
<P> 3移动存储设备:</P>
<P> 连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的"工具"->"文件夹选项"->"查看",去掉</P>
<P> “隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf</P>
<P> 移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。</P>
<P> TrojanSpy.USBSpy.a病毒专杀工具 <A href="http://down.ddvip.com/view/11557938574591.html"><U><FONT color=#0000ff>http://down.ddvip.com/view/11557938574591.html</FONT></U></A></P> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡