反病毒小菜
新手上路
积分 21
发帖 15
注册 2008-3-3
|
#1 Worm.Win32.Otwycal.b(MSDOS.bat)病毒分析与解决方案
Worm.Win32.Otwycal.b(MSDOS.bat)病毒分析与解决方案
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Otwycal.b
病毒类型:感染式蠕虫
危害级别:5
感染平台:Windows
病毒大小:14,412(字节)
SHA1 :DC834AEE4B3558365577F0EE130FF5B73F8633CF
加壳类型:Upack
病毒行为:
1、病毒运行后释放文件
%windir%\Windows.ext
%windir%\explorer.ext
%windir%\Sysfile.Brk
释放autorun.inf和MSDOS.bat到各盘根目录下
2、病毒尝试修改explorer.exe进程
3、感染C盘下的文件(非系统文件夹),修改最后一个节的节名为WYcao,将病毒代码插在最后一个节的尾部
4、下载文件:http://www.wg***.cn/config.txt
根据该文件下载并运行以下文件
http://17bs.com/***/mh.exe
http://17bs.com/***/chibi.exe
http://17bs.com/***/fenghuo.exe
http://17bs.com/***/huanxiang.exe
http://17bs.com/***/jianxia.exe
http://17bs.com/***/mr.exe
http://17bs.com/***/qiji.exe
http://17bs.com/***/toumingzhuang.exe
http://17bs.com/***/wanmeiguoji.exe
http://17bs.com/***/wendao.exe
http://17bs.com/***/wulin.exe
http://17bs.com/***/zhengtu.exe
http://17bs.com/***/back/jianghu.exe
http://17bs.com/***/back/moyu.exe
http://17bs.com/***/back/WOW.exe
http://17bs.com/***/qq3guo.exe
http://17bs.com/***/cqsj.exe
http://17bs.com/***/zhengtu.exe
http://17bs.com/***/qqhuaxia.exe
http://17bs.com/***/dh.exe
http://17bs.com/***/yitian2.exe
http://17bs.com/***/siluchuanshuo.exe
http://17bs.com/***/qqziyou.exe
http://17bs.com/***/zhuxian.exe
http://17bs.com/***/dahua3.exe
http://17bs.com/***/juren.exe
5、下载的病毒运行后会释放一些dll文件,添加注册表将这些dll注入到系统进程中,实现开机自启动
注册表键:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
注册表值:AppInit_DLLs
值:wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll,
drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,
serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,
serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,
xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,
vnjritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,
thurh.dll,mgmgmm.dll,oqrthc.dll,qrhhb.dll,
jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,
ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,
setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fehom.dll,
6、病毒会将释放的dll文件注入explorer进程
二、解决方案
推荐方案:
安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束explorer.exe进程,拷贝%SystemRoot%\dllcache文件夹下的explorer.exe覆盖%SystemRoot%文件夹下的
explorer.exe
2、删除病毒生成的文件:
%windir%\Windows.ext
%windir%\explorer.ext
%windr%\Sysfile.Brk
释放autorun.inf和MSDOS.bat到各盘根目录下
3、删除病毒添加的注册表项:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、使用超级巡警的补丁检查功能,及时安装系统补丁。
3、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
5、禁用不必要的服务。
6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
7、不要随意下载不安全网站的文件并运行。
8、下载和新拷贝的文件要首先进行查毒。
9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
www.newjian.com
| |
※ ※ ※ 本文纯属【反病毒小菜】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
