» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » “哆啦A梦”（Malware.Win32.DoRaeMon.a）   作者: 标题: “哆啦A梦”（Malware.Win32.DoRaeMon.a） pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  “哆啦A梦”（Malware.Win32.DoRaeMon.a） 病毒名称 Malware.Win32.DoRaeMon.a 捕获时间 2007-12-12 病毒症状      该病毒使用VC++编写的恶意程序，程序未经过加壳，长度225,280字节，图标为动画片<机器猫>中哆啦A梦的头像，病毒扩展名为exe，主要通过可移动存储、文件捆绑等方式传播。        病毒分析      该程序被激活后，检查自启动项下是否存在VKidding_vk子键，如果不存在则添加名为VKidding_vk启动项，其映射路径为C:\VKidding\kid.exe,以达到随系统启动的目的；播放病毒自身资源中动画片《机器猫》中一段插曲音乐，同时修改注册表项使Windows任务管理器不能正常使用；加载动态链接库HOOK.DLL通过全局键盘和鼠标钩子截获键盘和鼠标消息使其不能被Windows操作系统正常接收处理,将显示器屏幕打印成蓝色并隐藏任务栏；依次遍历C盘到L盘在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding，目录中包括autorun.inf、HOOK.DLL、kid.exe，使用Windows自动播放功能使病毒传播。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 可移动存储、文件捆绑 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件.”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Malware.Win32.DoRaeMon.a”，请直接选择删除（如图2）。 未使用微点主动防御软件的用户：       1、专家建议不要在不明站点下载非官方版本的程序软件进行安装，以便病毒通过捆绑的方式进入您的系统；       2、建议关闭U盘自动播放，具体操作步骤：开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到"关闭自动播放">双击>选择"已启用"。              3、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-13 19:17 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 中毒之后的计算机将播放动画片《机器猫》中一段格式wav的插曲音乐，伴随着音乐屏幕瞬间变成蓝色，在此病毒通过hook消息的方式使得键盘和鼠标部分功能失效，无法激活任何应用程序，由于windows自身机制此方式无法hook键盘CTRL+ALT+DEL组合键的消息，所以任务管理器才会被病毒作者禁用；重启计算机后由于病毒启动项加载病毒，依然导致上述现象发生，使得用户系统瘫痪。 病毒修改的注册表项： 项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 键值：VKidding_vk 指向文件：C:\VKidding\kid.exe 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ 键值：DisableTaskMgr 指向变量：1 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-13 19:19 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号