光盘机病毒发布的最新分析报告

病毒名称:worm.vcingt.w.102400

中文名称:圆盘机的品种

病毒长度:36864

威胁等级:2

病毒类型:特洛伊木马程序



病毒简介:

这是一个计算机病毒下载病毒,会关闭一些安全工具和杀毒软件并停止运行,并将继续关闭窗口检测一些杀毒软件和安全工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其他进程启动过程的病毒最后,反复写注册表来破坏系统安全模式,病毒将释放AUTORUN.INF的每个分区中实现自我操作。



病毒的功能:

首先,病毒通过修改系统默认加载的DLL列表项实现DLL注入,并在注入后设置全局钩子。它通过远程进程注入,并检测是否有相应的安全软件和管理工具:



雷夫AVP捻千伏看kissvc扫描防护



找到一个关键窗口,向窗口发送大量垃圾短信,也无法处理,进入假死的状态,当目标窗口接收wm_endsession消息将退出,破坏和异常退出。



病毒关闭杀毒软件的方法并不创新,但是关键字变短了,所以某些进程或类似名称的窗口都关闭了。



两。修改注册表的隐藏属性以销毁文件夹选项,以便无法显示隐藏文件。








三。删除注册表中设置的安全模式的值,以销毁安全模式。

病毒改写注册表清理专家反复、无效的工具,在病毒完全清除修复安全模式的AV终结者。



四、释放在C netapi00.sys驱动文件:磁盘目录,隐藏和保护自己的司机。



五,使软件有限策略无效

删除注册表HKLM 软件政策微软 Windows 安全的关键和它的子项,在用户组策略的软件限制策略的设置是无效的。很明显,病毒是根据一些技术用户的清除方法的改进,因为有网友提出,软件限制战略应配置使磁盘病毒无法运行。



六,计算机病毒不断删除注册表密钥,破坏安全模式、杀毒软件和主动防御服务,使许多主动防御软件和实时监控无法再打开。



七、计算机病毒释放文件autorun.inf和pagefile.pif硬盘分区和可移动磁盘的根目录下实现自我操作的目的。和公开这两个文件在一个专用的方式使他们不能直接删除,访问和复制。












八,为了不让某些安全工具自动启动,病毒删除了注册表中的所有运行条目及其子密钥,并删除了所有的图像劫持项目。



九,病毒发布以下文档:

%systemroot%system32 smss.exe COM

%systemroot%system32 通讯etcfg.000

%systemroot%system32 通讯etcfg.dll

%systemroot%system32 lsass.exe COM

然后运行smss.exe和lsass.exe,将有多个smss.exe和lsass.exe进程,系统的正常过程同步,使管理员可以查看进程。



十、计算机病毒是通过重命名重命名的方式加载,和位于待重命名操作字符串的注册表hkey_local_machine 系统 controlset001 keysnottorestore backuprestore控制下。



通过修改注册表,病毒将0357589.log文件在C:(0357589是一个不固定的数字)来,开始,并~。文件夹下的exe.664406.exe(664406不固定)。



重启重命名的执行优先级比从传统的开始(通常hkey_local_machine 软件微软 Windows currentversion 运行)要高,并将其删除或重命名回完成后开始。这样一来,从极为隐蔽的开始,现有的安全工具就没有被检测出来。AV终结者专杀不能完全删除驱动的变种,正是因为这个原因!












十一,病毒会自动下载最新版本和其他一些病毒特洛伊木马在本地运行。



十二,病毒会感染其它目录下的所有可执行文件在system32目录。

它会感染压缩包中的文件。如果安装机器,WinRAR将调用Rar.exe被释放到临时文件夹,在压缩包中的文件打包。



Halo,这个死病毒太有创意,这东西可是很多人忽略了,原来安全的RAR包,病毒感染和再包装减压。



磁盘机病毒感染途径:

1。可移动磁盘的自运行

2。其他下载者病毒或被感染的文件

三.恶意网站下载

4。局域网ARP攻击



手动清除:

首先,该hkey_local_machine 系统 controlset001 控制会话管理器

pendingfilerenameoperations值删除,让它重新启动重命名失败!(很有可能病毒会很快失效,就像以前一样,每隔一段时间重复检查和删除密钥)。



然后关机,否则异常重启(一句话,不能正常关机!)。



什么,你不知道怎么做直接拔出线是一样的,因为病毒的新变种是在启动时关闭病毒。当它启动时,它会在没有发现一般杀毒软件的情况下杀死它自己,但是非法关机会使它在关闭时无法产生病毒。



重启后,不要打开这封信,(使用资源管理器,双击打开的习惯不开车)的每个分区的autorun.inf和pagefile.pif文件将在cmd命令行删除。然后用全扫描或专杀病毒的杀毒软件,因为病毒可以感染其他程序除外解压exe目录以外的,病毒很难彻底清除手,建议升级后全盘杀毒金山。



金山快盘专杀工具下载链接:

机器狗磁盘机/ AV终结者杀手工具

该工具可以同时删除磁盘,机器狗,和AV终结者。



如果你发现你的电脑符合磁碟机病毒感染的特点,金山快盘机专杀的使用也不能解决这个问题,请联系论坛求助帖,以便我们能及时跟进,请在主题的;磁盘;谢谢你合作。