微点交流论坛 - 主动防御 - 再谈微点处理优盘病毒

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 再谈微点处理优盘病毒

173659857
中级用户

积分 327
发帖 330
注册 2009-5-22

#1 再谈微点处理优盘病毒

对于此次蠕虫病毒事件：http://www.micropoint.com.cn/New ... 20120904095002.html
未安装微点主动防御软件的手动解决办法：

1.手动停止并删除服务

"DLANX"、"nvmini"

2.手动删除文件

"%SystemRoot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"////估计是病毒源程序
"移动磁盘根目录\"Autorun.inf"
"%SystemRoot%\AppPatch\AcLue.dll"
"共享目录\setup.exe"
"%SystemRoot%\system32\drivers\nvmini.sys"
"%SystemRoot%\system32\drivers\IsDrv118.sys"
替换文件"%SystemRoot%\system32\drivers\etc\hosts"

3.修复所有被感染的*.exe文件

微点反病毒工程师对这个病毒的分析：

1.获取系统目录，创建文件"C:\WINDOWS\linkinfo.dll"，写入病毒数据。
2.加载"C:\WINDOWS\linkinfo.dll"到当前进程地址空间，调用其导出函数"#101"，该函数获取系统目录，创建文件"C:\WINDOWS\system32\drivers\IsDrv118.sys"，写入病毒数据。加载该文件到系统地址空间并执行，并删除该文件。
3.打开名字为"PNP#DMUTEX#1#DL5"的互斥对象，防止重复执行，提升当前进程权限为"SeDebugPrivilege（调试特权级）"。
4.创建进程快照，查找进程"explorer.exe",将文件"C:\WINDOWS\linkinfo.dll"注入到该进程地址空间并执行。
5."C:\WINDOWS\linkinfo.dll"运行之后，开辟多线程：
(1)将文件"C:\WINDOWS\AppPatch\AcLue.dll.new"拷贝重命名为"C:\WINDOWS\AppPatch\AcLue.dll"，并加载该文件到当前进程地址空间，获取其导出函数，之后删除"AcLue.dll.new"。
(2)监控所有可移动设备，并向其写入病毒文件"boot.exe"、"Autorun.inf"，并设置文件属性为只读、隐藏、系统。
(3)遍历所有磁盘，查找并感染除了目录"\QQ"、"LOCAL SETTINGS\TEMP\"、"\WINDOWS\"、"\WINNT\"以及名字为"zhengtu.exe"、"audition.exe"、"kartrider.exe"、"nmservice.exe"、"ca.exe"、"nmcosrv.exe"、 "nsstarter.exe"、"maplestory.exe"、"neuz.exe"、"zfs.exe"、"gc.exe"、"mts.exe"、"hs.exe"、 "mhclient-connect.exe"、"dragonraja.exe"、"nbt-dragonraja2006.exe"、"wb-service.exe"、"game.exe"、"xlqy2.exe"、"sealspeed.exe"、"asktao.exe"、"dbfsupdate.exe"、 "autoupdate.exe"、"dk2.exe"、"main.exe"、"userpic.exe"、"zuonline.exe"、"config.exe"、 "mjonline.exe"、"patcher.exe"、"meteor.exe"、"cabalmain.exe"、"cabalmain9x.exe"、 "cabal.exe"、"au_unins_web.exe"、"大话西游.exe"、"xy2.exe"、"flyff.exe"、"xy2player.exe"、"trojankiller.exe"、"patchupdate.exe"、 "ztconfig.exe"、"woool.exe"、"wooolcfg.exe"等之外的所有"*.exe"文件。
(4)提升当前进程权限为"SeDebugPrivilege（调试特权级）"，破坏瑞星卡卡安全助手文件"C:\WINDOWS\system32\drivers\RsBoot.sys"。
(5)向其他网络共享目录写入病毒文件"setup.exe"，并尝试登陆其他主机，并创建名字为"DLANX"的服务，执行映像指向"setup.exe"。
(6)强制结束进程"sxs.exe"、"logo1_.exe"、"fuckjacks.exe"、"spoclsv.exe"、"nvscv32.exe"、"svch0st.exe"、 "c0nime.exe"、"iexpl0re.exe"、"ssopure.exe"、"upxdnd.exe"、"wdfmgr32.exe"、"spo0lsv.exe"、 "ncscv32.exe"等多个病毒进程。
(7)将文件"C:\WINDOWS\system32\drivers\etc\hosts"移动重命名为"C:\WINDOWS\system32\drivers\etc\hosts.txt"，并用病毒文件替换该文件。
(8)已挂起的方式创建新进程""C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome"，将病毒数据注入该进程地址空间并执行。
(9)创建文件"C:\WINDOWS\system32\drivers\nvmini.sys"，写入病毒数据，并创建名字为"nvmini"的服务，启动类型为自动，执行映像执行"C:\WINDOWS\system32\drivers\nvmini.sys"，之后启动此服务。

病毒创建文件:

"%SystemRoot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"
"移动磁盘根目录\"Autorun.inf"
"%SystemRoot%\AppPatch\AcLue.dll"
"共享目录\setup.exe"
"%SystemRoot%\system32\drivers\nvmini.sys"
"%SystemRoot%\system32\drivers\IsDrv118.sys"
"%SystemRoot%\system32\drivers\etc\hosts"

病毒访问网络：

"http://info.95****.com/info.asp"

※ ※ ※ 本文纯属【173659857】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-5 08:36

173659857
中级用户

积分 327
发帖 330
注册 2009-5-22

#2 微点加入优盘安全打开与安全拔出功能

如果微点主防加入这个功能，那自己的优盘就不会被感染了并且安装微点的电脑也不会被感染。。。

※ ※ ※ 本文纯属【173659857】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-5 08:50

173659857
中级用户

积分 327
发帖 330
注册 2009-5-22

#3

当优盘插入电脑后微点马上弹出一个安全打开的选项用完资料后右下角有个安全拔出优盘的选项，大大加强防御优盘病毒的作用。先前的插入扫描类，我个人觉得没有必要了，如果真有文档中毒，把文档给杀了，那损失是很严重的，我个人不赞成这样的做法；况且这样扫描是很费时间的，许多用户会选择不去扫描。希望微点研发采纳此条建议，谢谢，我愿见证微点的人机交互的另一大突破。。。。

※ ※ ※ 本文纯属【173659857】个人意见，与【微点交流论坛】立场无关※ ※ ※

2012-9-5 12:03

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号