病毒描述
病毒名称 : Virus/Autorun.ke 文件MD5 : F0A283036A1D7AD60E5FCA1712826CEC 文件大小 : 142,864 字节 编写环境 : C++ 是否加壳 : 是(PEPACK)
文档公开级别 : 完全公开
病毒执行体描述:
Virus/Autorun.ke 病毒是感染性质的下载者病毒,对系统的破坏性很大,感染所有磁盘,并感染所有网页文件插入"Iframe"的外部链接,用户中毒后机器会变得非常卡,此病毒会以最高权限对系统进行操作,修改注册表,感染磁盘文件,下载网络上新的病毒变种,复制自身到其他目录下添加AutoRun.inf配置文件对文件夹进行劫持,当移动设备插入到主机上,打开本地磁盘会继续感染到移动设备磁盘,是一个持续感染的病毒,当进驻到操作系统里以后会把自身复制到系统目录下重命名为"SVSHOST.EXE"来混淆用户。原文件会释放自删除脚本删除。
病毒行为流程分析:
一.传播途径 通过对Virus/Autorun.ke病毒的深入分析,发现病毒每次被运行的时候都会检测当前注册表项中是否有启动项"SVSHOST.EXE",如果已检测到有此项,则退出。没有检测到此项则复制自身到系统目录下命名为"SVSHOST.EXE",并创建进程"SVSHOST.EXE"。Virus/Autorun.ke 以"SVSHOST.EXE"名称执行后,则开始搭建重启运行环境,将自身添加到注册表"Run"启动项中。检测IE注册表项,把默认主页设置为"http://127.0.0.1",关闭Windwos自动更新的注册表项。创建批处理文件,自删原来的Virus/Autorun.ke 病毒体,病毒已经为自身复制了一份"SVSHOST.EXE",原来的将被删除。
二、执行流程 Virus/Autorun.ke 病毒自身复制到System32目录下,启动后会修改注册表,遍历磁盘文件,感染磁盘里所有的网页文件添加"iframe" 外部调用,对系统根目录下释放"AutoRun.inf",将自身复制与"AutoRun.inf"文件相同目录下命名为"lcg.exe"。完成感染环境的搭建后开启线程重复检测磁盘根目录下的"AutoRun.inf",如果没有就进行释放。
病毒技术要点 Virus/Autorun.ke 病毒是自我复制,自我传播型病毒的典型,从自我复制对系统的启动调用,添加开机启动,感染系统所有磁盘,混淆创建"SVSHOST.EXE"来进行启动。
病毒清理流程 1. Virus/Autorun.ke 病毒的特征中毒后机器变慢,检测磁盘根目录下是否有隐藏的AutoRun.inf,并伴有lcg.exe。 2. 再通过安全软件查看系统里是否有SVSHOST.EXE的进程,如果发现应先结束该进程,通过资源管理器打开磁盘目录,删除里面的Autorun.inf 和lcg.exe(每个磁盘根目录都要操作)。在系统System32目录下搜索SVSHOST.EXE,找到后删除,在注册表中删除对应的项。
【来源:江民科技】
|