1.手动删除以下文件:
%Documents and Settings%\Administrator\Application Data\hidserv.exe
2.若可移动磁盘已感染则手动删除以下文件:
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\w89e85t5.exe(x为可移动磁盘盘符)
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\Desktop.ini
x:\autorun.inf
3.手动删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
5.用正常host文件替换被病毒修改后的host文件。
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”作者: pioneer 时间: 2011-4-3 17:32 病毒分析
1.该样本运行后,创建名为"TTURJEJKKDF62432DJASDJSDMSDL"的互斥体对象,防止程序重复运行。
2.获取自身路径,比较自身是否是"%Documents and Settings%\Administrator\Application Data\hidserv.exe",若不是则复制自身到%Documents and Settings%\Administrator\Application Data\文件夹下,并更名为hidserv.exe。
3.创建进程运行%Documents and Settings%\Administrator\Application Data\hidserv.exe,然后样本退出。
4.Hidserv.exe运行后,创建多个线程,用以实施恶意行为。
5.线程1,反复向以下注册表写入数据,实现Hidserv.exe的开机启动以及躲避防火墙的阻止:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
6.线程2,循环查找窗口名为"Windows Security Alert"、"BitDefender Firewall Alert"的窗口,若找到则向其发送消息,关闭窗口。
7.线程3,循环查找本机中的可移动磁盘,若找到则在其创建目录x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255(x为可移动磁盘盘符),在目录下创建文件Desktop.ini以及将自身复制到该目录下更名为w89e85t5.exe(随机命名),将文件夹伪装成回收站,并在可移动磁盘根目录下创建autorun.inf文件指向病毒文件w89e85t5.exe,设置文件属性为系统隐藏,达到利用可移动磁盘传播自身。
8.之后创建系统快照,查找"avp.exe"、"norton.exe"、"mcafee.exe"等安全杀软进程,若找到则尝试关闭进程。
9.修改本机host文件,屏蔽大量安全网站,阻止本机的访问。
10.初始化socket,与黑客指定远端地址建立连接,等待黑客下一步命令。
病毒创建文件:
%Documents and Settings%\Administrator\Application Data\hidserv.exe
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\w89e85t5.exe(x为可移动磁盘盘符)
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\Desktop.ini
x:\autorun.inf
病毒修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe