» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 恶意程序Malware.Win32.KillSystem.c   作者: 标题: 恶意程序Malware.Win32.KillSystem.c pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  恶意程序Malware.Win32.KillSystem.c 病毒名称 Malware.Win32.KillSystem.c 捕获时间 2007-12-4 病毒症状              该病毒是一个使用VB语言编写的恶意程序，程序未经过加壳，长度57,357 字节，使用VB默认图标，病毒扩展名为exe，主要通过文件捆绑以及攻击破坏等方式传播。 病毒分析              样本程序被执行后，首先通过硬编码方式查找C:\windows\system32目录，并在该目录下创建olo文件夹，将自身副本重命名为winlogon.exe进行拷贝；在system32目录下创建111.txt，并调用记事本以最大化方式打开；依次释放8.reg、11.reg调用regedit.exe /s导入注册表修改exe文件关联、注册win32服务；硬编码方式在D盘中释放autorun.inf和副本winlogon.exe，释放18.bat定时执行执行病毒主程序；遍历进程结束regedit.exe、IEXPLORE.EXE、EXPLORER.EXE、QQ.EXE、CMD.EXE；释放1.reg、2.reg、3.reg、4.reg导入注册表；进行大循环重复执行以上任务，直到系统崩溃为止。 感染对象 Windows XP/Windows 2003 传播途径 文件捆绑、恶意攻击 安全提示       已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知病毒”，请直接选择删除处理（如图1）；                                  图1       如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Malware.Win32.KillSystem.c”，请直接选择删除（如图2）。                               图2       未使用微点主动防御软件的用户：       1、专家建议不要在不明站点下载非官方版本的程序软件进行安装，以便病毒通过捆绑的方式进入您的系统；       2、建议关闭U盘自动播放，具体操作步骤：开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到"关闭自动播放">双击>选择"已启用"。       3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。              4、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-5 16:45 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 恶意文件分析 1.reg内容如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "win"="C:\\WINDOWS\\system32\\olo\\winlogon.exe" 目的：添加自身启动项，随系统启动加载 4.reg内容如下： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 目的：禁用系统注册表编辑器，用户无法使用注册表编辑器清除病毒启动项 8.reg内容如下： [HKEY_CLASSES_ROOT\MyApp] @="Logfiles" [HKEY_CLASSES_ROOT\MyApp\shell] [HKEY_CLASSES_ROOT\MyApp\shell\open] [HKEY_CLASSES_ROOT\MyApp\shell\open\command] @="C:\\WINDOWS\\system32\\olo\\winlogon.exe" [HKEY_CLASSES_ROOT\.exe] @="MyApp" "Content Type"="application/x-msdownload" [HKEY_CLASSES_ROOT\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" 目的：修改exe文件关联，运行扩展名为exe的程序只会运行病毒主体程序 18.bat at 9:10 C:\WINDOWS\system32\olo\winlogon.exe 目的：每天在9点十分准时运行病毒主程序 该恶意程序发作现象： 该程序激活后会导致所有的exe都无法完成正常执行，造成没有桌面、IE浏览器自动关闭、注册表编辑器被关闭后无法再次打开、任务管理器打开后立即关闭、QQ掉线的现象。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-5 16:49 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号