广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2862 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
c1010c1010c 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x7 鲜花 x7
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] fKzf9wP6bhq6Bcxa.Ttf,m37tEtTX7Ye5c.dll 等病毒清除解决方案
病毒症状
该样本是使用「VC」编写的盗号木马,采用「UPX」加壳方式,企图躲避特征码扫瞄,加壳后长度为「22,122 字节」,病毒扩展名为「exe」,主要通过「文件捆绑」、「下载器下载」、「网页挂马」等方式传播,病毒主要目的为盗取游戏帐号密码信息。  
用户中毒后,会出现游戏无故关闭,输入用户名密码时,电脑运行速度缓慢,Windows软件无故报错等现象。
感染对像
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、下载器下载


病毒分析
(1)生成病毒配置文件和动态库文件
(2)加载病毒动态库文件,设置钩子
(3)遍历进程,关闭游戏进程
(4)查找VErCLSiD.exe文件,如果找到,删除VErCLSiD.exe文件
(5)修改注册表,实现自启动等功能
(6)使用DOS命令删除自身
(7)截获密码信息,并发送到指定网址      
病毒创建文件:
  
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll    
病毒删除文件:   
%SystemRoot%\system32\VErCLSiD.exe    
病毒创建注册表:   
HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{19250D1E-B733-4F49-BC56-44EFCF3BF650}  



解决方案:
1、使用相同版本文件修复%SystemRoot%\system32\VErCLSiD.exe
2、手动删除以下文件:
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll  
3、手动删除以下注册表值:  
键:HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
键:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\  
值:{19250D1E-B733-4F49-BC56-44EFCF3BF650}  
数据:null  
变量声明:  
%SystemDriver%       系统所在分区,通常为「C:\」  
%SystemRoot%        WINDODWS所在目录,通常为「C:\Windows」  
%Documents and Settings%  用户文档目录,通常为「C:\Documents and Settings」  
%Temp%           临时文件夹,通常为「C:\Documents and Settings\当前用户名称\Local Settings\Temp」  
%ProgramFiles%       系统程序默认安装目录,通常为:「C:\ProgramFiles」



小绵羊伟
献花 x0 回到顶端 [楼 主] From:台固媒体 | Posted:2009-05-23 11:49 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058089 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言