扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年1月11日
关键字: ati2evxx.exe病毒 ati2evxx.exe进程 ati2evxx.exe木马 ati2evxx.exe专杀 ati2evxx.exe ati2evxx.exe是什么
病毒标签:
病毒名称: Worm.Win32.AutoRun.apj
病毒类型: 蠕虫类
文件 MD5: A8093E6B515C5F3888E80C9DBE4DAC34
公开范围: 完全公开
危害等级: 高
文件长度: 19,124字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v4.0 - v5.0
加壳类型: Upack V0.36-V0.37 (DLL) -> Dwing
病毒描述:
该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows
文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘
时启动该病毒;添加注册表实现开机自启动,添加注册表对安全软件映像劫持;遍历
磁盘感染除系统以外的exe文件;连接网络下载病毒到临时文件夹下;该病毒功能很
多,清除起来并不容易,属于危害等级较高的病毒。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件:
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码:
3、新增注册表:
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
添加注册表对安全软件映像劫持,被劫持的安全软件如下:
_AVP32.EXE、_AVPCC.EXE、_AVPM.EXE、360rpt.exe、
360Safe.exe、360tray.exe、ACKWIN32.EXE、
ANTI-TROJAN.EXE、APVXDWIN.EXE、AUTODOWN.EXE、
AVCONSOL.EXE、AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、
AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、
AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、AVPUPD.EXE、
AVSCHED32.EXE、AVWIN95.EXE、AVWUPD32.EXE、BLACKD.EXE、
BLACKICE.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、
CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、CLEANER.EXE、
CLEANER3.EXE、DVP95.EXE、DVP95_0.EXE、ECENGINE.EXE、
EGHOST.EXE、ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、
FESCUE.EXE、FINDVIRU.EXE、FPROT.EXE、F-PROT.EXE、
F-PROT95.EXE、FP-WIN.EXE、FRW.EXE、F-STOPW.EXE、
IAMAPP.EXE、IAMSERV.EXE、IBMASN.EXE、IBMAVSP.EXE、
ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、
ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、Iparmor.exe、
JEDI.EXE、KAV32.exe、KAVPFW.EXE、KAVsvc.exe、
KAVSvcUI.exe、KVFW.EXE、KVMonXP.exe、KVMonXP.kxp、
KVSrvXP.exe、KVwsc.exe、KvXP.kxp、KWatchUI.EXE、
LOCKDOWN2000.EXE、Logo_1.exe、Logo1_.exe、LOOKOUT.EXE、
LUALL.EXE、MAILMON.EXE、MOOLIVE.EXE、MPFTRAY.EXE、
N32SCANW.EXE、Navapsvc.exe、Navapw32.exe、NAVLU32.EXE、
NAVNT.EXE、navw32.EXE、NAVWNT.EXE、NISUM.EXE、NMain.exe、
NORMIST.EXE、NUPGRADE.EXE、NVC95.EXE、PAVCL.EXE、
PAVSCHED.EXE、PAVW.EXE、PCCWIN98.EXE、PCFWALLICON.EXE、
PERSFW.EXE、PFW.EXE、Rav.exe、RAV7.EXE、RAV7WIN.EXE、
RAVmon.exe、RAVmonD.exe、RAVtimer.exe、Rising.exe、
SAFEWEB.EXE、SCAN32.EXE、SCAN95.EXE、SCANPM.EXE、
SCRSCAN.EXE、SERV95.EXE、SMC.EXE、SPHINX.EXE、
SWEEP95.EXE、TBSCAN.EXE、TCA.EXE、TDS2-98.EXE、
TDS2-NT.EXE、THGUARD.EXE、TrojanHunter.exe、VET95.EXE、
VETTRAY.EXE、VSCAN40.EXE、VSECOMR.EXE、VSHWIN32.EXE、
VSSTAT.EXE、WEBSCANX.EXE、WFINDV32.EXE、ZONEALARM.EXE、
修复工具.exe
网络行为:
1、连接网络下载病毒文件:
连接网络:
c.8**.us(59.60.155.**)
a.8**.us(58.53.128.**)
e.8**.us(218.75.159.***)
f.8**.us(59.60.157.**)
下载病毒文件并自动运行:
00001[1].exe 17,118字节
Trojan.Win32.Vaklik.bx
00002[1].exe 15,773字节
Trojan-PSW.Win32.OnLineGames.lnx
00003[1].exe 15,567字节
Trojan-PSW.Win32.OnLineGames.lmz
00004[1].exe 17,067字节
Trojan-PSW.Win32.OnLineGames.lqb
00005[1].exe 15,359字节
Trojan-PSW.Win32.OnLineGames.llm
00006[1].exe 15,551字节
Trojan-PSW.Win32.OnLineGames.llj
00007[1].exe 16,079字节
Trojan-PSW.Win32.OnLineGames.lpt
00008[1].exe 17,060字节
Trojan-PSW.Win32.OnLineGames.lqz
00009[1].exe 16,972字节
Trojan-PSW.Win32.OnLineGames.lrf
00010[1].exe 15,539字节
Trojan-PSW.Win32.OnLineGames.lmz
00011[1].exe 15,185字节
Trojan-PSW.Win32.OnLineGames.lmz
00012[1].exe 16,800字节
Trojan-PSW.Win32.OnLineGames.lrb
00013[1].exe 16,860字节
Trojan-PSW.Win32.OnLineGames.
00015[1].exe 16,588字节
Trojan-PSW.Win32.OnLineGames.let
00016[1].exe 15,942字节
Trojan-PSW.Win32.OnLineGames.lrc
00017[1].exe 17,006字节
Trojan-PSW.Win32.OnLineGames.lrb
00023[1].exe 19,440字节
Trojan-PSW.Win32.OnLineGames.jct
host[1].exe 5,412字节
Trojan.Win32.Qhost.aaf
wdlm[1].exe 14,448字节
Trojan-Downloader.Win32.Small.gwi
soundma[1].exe 51,042字节
Trojan.Win32.Agent.diq
lmmy[1].exe 14,644字节
Trojan-PSW.Win32.OnLineGames.kaw
lmmh[1].exe 14,533字节
Trojan.Win32.Small.uj
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天木马防线可彻底清除此病毒(推荐)。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线“进程管理”关闭病毒进程。
(2)删除病毒文件:
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Internet
Files%\00001[1].exe
%Temporary Internet
Files%\00002[1].exe
%Temporary Internet
Files%\000031].exe
%Temporary Internet
Files%\00004[1].exe
%Temporary Internet
Files%\00005[1].exe
%Temporary Internet
Files%\00006[1].exe
%Temporary Internet
Files%\00007[1].exe
%Temporary Internet
Files%\00008[1].exe
%Temporary Internet
Files%\00009[1].exe
%Temporary Internet
Files%\00010[1].exe
%Temporary Internet
Files%\00011[1].exe
%Temporary Internet
Files%\00012[1].exe
%Temporary Internet
Files%\00013[1].exe
%Temporary Internet
Files%\00015[1].exe
%Temporary Internet
Files%\00016[1].exe
%Temporary Internet
Files%\00017[1].exe
%Temporary Internet
Files%\00023[1].exe
%Temporary Internet
Files%\host[1].exe
%Temporary Internet
Files%\wdlm[1].exe
%Temporary Internet
Files%\soundma[1].exe
%Temporary Internet
Files%\lmmy[1].exe
%Temporary Internet
Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。