超级巡警团队监测到恶意程序Virus.Win32.Downloader.ba会感染系统内文件,并且修改IE浏览器的首页,映像劫持大量程序。超级巡警团队建议广大用户及时更新病毒库,确保对此恶意程序的有效查杀与修复。
一、病毒相关分析:
病毒标签:
病毒名称:Virus.Win32.Downloader.ba
病毒类型:病毒
危害级别:3
感染平台:Windows
病毒大小:112,258(字节)
S H A 1 :5df6f97a4be8e23afefe89fef7da08f7842f8474
加壳类型:无
开发工具:Delphi
病毒行为:
1、释放文件:
%DriveLetter%AutoRun.inf //双击盘符时自动运行SiZhu.exe
%DriveLetter%SiZhu.exe
%System%SiZhu.exe
在同目录下释放文件MMM.MMM并执行 (28,000字节)
2、修改IE首页为
http://www.592games.cn/
修改系统的隐藏属性,使隐藏文件不可见
添加启动项Machine AutoRun
到HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
禁用系统自动升级功能
3、映像劫持以下文件
Logo_1.exe、Logo1_.exe、Navapw32.exe、Navapsvc.exe、NMain.exe、navw32.EXE、KVFW.EXE、KAVSvcUI.exe、KAVPFW.EXE、KAV32.exe、KVSrvXP.exe、KVwsc.exe、KAVsvc.exe、KWatchUI.EXE、360Safe.exe、360rpt.exe、RAVmonD.exe、RAVmon.exe、RAVtimer.exe、Rising.exe、Rav.exe、RavMon.exe、Ravtimer.exe、Iparmor.exe、TrojanHunter.exe、THGUARD.EXE、PFW.EXE、EGHOST.EXE、MAILMON.EXE、ZONEALARM.EXE、WFINDV32.EXE、360tray.exe、WEBSCANX.EXE、VSSTAT.EXE、VSHWIN32.EXE、VSECOMR.EXE、VSCAN40.EXE、VETTRAY.EXE、VET95.EXE、TDS2-NT.EXE、TDS2-98.EXE、TCA.EXE、TBSCAN.EXE、SWEEP95.EXE、SPHINX.EXE、SMC.EXE、SERV95.EXE、SCRSCAN.EXE、SCANPM.EXE、SCAN95.EXE、SCAN32.EXE、SAFEWEB.EXE、FESCUE.EXE、RAV7WIN.EXE、RAV7.EXE、PERSFW.EXE、PCFWALLICON.EXE、PCCWIN98.EXE、PAVW.EXE、PAVSCHED.EXE、PAVCL.EXE、NVC95.EXE、NUPGRADE.EXE、NORMIST.EXE、NMAIN.EXE、NISUM.EXE、NAVWNT.EXE、NAVW32.EXE、NAVNT.EXE、NAVLU32.EXE、NAVAPW32.EXE、N32SCANW.EXE、MPFTRAY.EXE、MOOLIVE.EXE、LUALL.EXE、LOOKOUT.EXE、LOCKDOWN2000.EXE、JEDI.EXE、IOMON98.EXE、IFACE.EXE、ICSUPPNT.EXE、ICSUPP95.EXE、ICMON.EXE、ICLOADNT.EXE、ICLOAD95.EXE、IBMAVSP.EXE、IBMASN.EXE、IAMSERV.EXE、IAMAPP.EXE、FRW.EXE、FPROT.EXE、FP-WIN.EXE、FINDVIRU.EXE、F-STOPW.EXE、F-PROT95.EXE、F-PROT.EXE、F-AGNT95.EXE、EXPWATCH.EXE、ESAFE.EXE、ECENGINE.EXE、DVP95_0.EXE、DVP95.EXE、CLEANER3.EXE、CLEANER.EXE、CLAW95CF.EXE、CLAW95.EXE、CFINET32.EXE、CFINET.EXE、CFIAUDIT.EXE、CFIADMIN.EXE、BLACKICE.EXE、BLACKD.EXE、AVWUPD32.EXE、AVWIN95.EXE、AVSCHED32.EXE、AVPUPD.EXE、AVPTC32.EXE、AVPM.EXE、AVPDOS32.EXE、AVPCC.EXE、AVP32.EXE、AVP.EXE、AVNT.EXE、AVKSERV.EXE、AVGCTRL.EXE、AVE32.EXE、AVCONSOL.EXE、AUTODOWN.EXE、APVXDWIN.EXE、ANTI-TROJAN.EXE、ACKWIN32.EXE、_AVPM.EXE、_AVPCC.EXE、_AVP32.EXE、PFW.exe、KAVsvcUI.exe、rising.exe、rav.exe、KVsrvXP.exe、KVMonXP.exe
4、查找以下进程并尝试结束:
IceSword
360safe
IRIS
kaspersky
5、感染可执行文件,但是跳过以下文件夹中的文件。
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:
http://www.sucop.com/download/16.html
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
