病毒特征文件:avp.exe、hs4viewer.dll、ws2ifsl.sys
簡介:avp.exe是卡巴斯基殺毒軟件的相關程序。但如果你的係統沒有安裝該軟件,則可能是將死者病毒的文件,它本身是一個壓縮文件,如果打開壓縮文件,就會變成136kb的文件。此病毒是用visual basic編寫,且經過壓縮軟件upx壓縮,反解壓工具處理,使之用原始的upx不能解壓。由於是vb編寫的病毒,它運行時就需要一個vb的動態鏈接庫msvbvm60.dll,若用戶的計算機裏沒這個文件,病毒就無法被激活,這些用戶則會幸免於難。運行該樣本後,該樣本借助看圖軟件(本機為ACDSee)打開,為一美女圖片
釋放文件: %system%/hs4viewer.dll %windir%/avp.exe
還有其他一些完成使命後自我刪除的文件 %system%/delplme.bat %Documents and Settings%/計算機名/Local Settings/Temp/RarSFX0/1.jpg %Documents and Settings%/計算機名/Local Settings/Temp/RarSFX0/server.exe ..... 添加係統服務 [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/VGADown] [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/Root/LEGACY_VGADOWN] 指向 %windir%/avp.exe 加載驅動(係統正常文件,處理時別動它) [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WS2IFSL] %system%/drivers/ws2ifsl.sys 作惡特點: 1、avp.exe冒充卡巴斯基的正常進程 2、修改SPI,添加hs4viewer.dll,這個難以說清楚,跟以前的流氓軟件roogoo差不多,看hijackthis和sreng日誌體現吧 Winsock 提供者 MSAFD Tcpip [TCP/IP] C:/WINDOWS/system32/hs4viewer.dll(N/A, N/A) O10 - Unknown file in Winsock LSP: %system%/hs4viewer.dll 解決過程: 1、清除掉病毒avp.exe 如果裝有卡巴斯基,可以使用procexp來判斷哪個avp.exe是病毒進程,終止該進程後,刪除avp.exe以及其添加的注冊表信息,如 [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/VGADown] [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/Root/LEGACY_VGADOWN] %windir%/avp.exe 要是不嫌麻煩,可以先刪除其創建的注冊表服務信息,然後重啟,再刪除avp.exe 2、使用lspfix.exe或其他工具來解決掉hs4viewer.dll 這個尤其要注意,不要蠻幹,別搞的上不了網,個人習慣使用lspfix.exe。LSPFix處理完畢後,再手工刪除%system%/hs4viewer.dll
【相關工具下載】
http://download.it168.com/06/0603/55860/55860_3.shtml(Procexp漢化版)http://bbs.360safe.com/attachment.php?aid=6823(LSPFix漢化版.exe)
|