科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道查杀:autorun.inf,ati2evxx.exe

查杀:autorun.inf,ati2evxx.exe

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘时启动该病毒。

作者:论坛整理 来源:zdnet网络安全 2008年1月11日

关键字: ati2evxx.exe病毒 ati2evxx.exe进程 ati2evxx.exe木马 ati2evxx.exe专杀 ati2evxx.exe ati2evxx.exe是什么

  • 评论
  • 分享微博
  • 分享邮件

病毒标签:
病毒名称: Worm.Win32.AutoRun.apj
病毒类型: 蠕虫类
文件 MD5: A8093E6B515C5F3888E80C9DBE4DAC34
公开范围: 完全公开
危害等级: 高
文件长度: 19,124字节
感染系统: Windows98以上版本
开发工具: Borland Delphi v4.0 - v5.0
加壳类型: Upack V0.36-V0.37 (DLL) -> Dwing
病毒描述:
 

该病毒属于蠕虫类,主要依靠U盘传播,运行后有如下行为:释放副本到windows
文件夹的fonts目录下,在磁盘的每个根目录下衍生副本和autorun.inf用于双击磁盘
时启动该病毒;添加注册表实现开机自启动,添加注册表对安全软件映像劫持;遍历
磁盘感染除系统以外的exe文件;连接网络下载病毒到临时文件夹下;该病毒功能很
多,清除起来并不容易,属于危害等级较高的病毒。
行为分析:
 

本地行为:

1、文件运行后会释放以下文件:

    %DriverLetter%\ntldr.exe         19,124字节
    %DriverLetter%\autorun.inf        85字节
    %Windir%\Fonts\system\ati2evxx.exe    19,124字节
    
2、感染本地除系统文件夹以外的exe文件:

    在exe文件的尾部添加名为.ani一个节,改变文件的大小,
    以下为添加到新节的代码:
    
   
    
3、新增注册表:

    添加注册表启动项,实现自启动

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run]
    注册表值:"TBMonEX"
    类型: REG_SZ
    字符串:"%Windir%\Fonts\system\ati2evxx.exe"
    描述:添加自启动

    添加注册表对安全软件映像劫持,被劫持的安全软件如下:

    _AVP32.EXE、_AVPCC.EXE、_AVPM.EXE、360rpt.exe、
    360Safe.exe、360tray.exe、ACKWIN32.EXE、
    ANTI-TROJAN.EXE、APVXDWIN.EXE、AUTODOWN.EXE、
    AVCONSOL.EXE、AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、
    AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、
    AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、AVPUPD.EXE、
    AVSCHED32.EXE、AVWIN95.EXE、AVWUPD32.EXE、BLACKD.EXE、
    BLACKICE.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、
    CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、CLEANER.EXE、
    CLEANER3.EXE、DVP95.EXE、DVP95_0.EXE、ECENGINE.EXE、
    EGHOST.EXE、ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、
    FESCUE.EXE、FINDVIRU.EXE、FPROT.EXE、F-PROT.EXE、
    F-PROT95.EXE、FP-WIN.EXE、FRW.EXE、F-STOPW.EXE、
    IAMAPP.EXE、IAMSERV.EXE、IBMASN.EXE、IBMAVSP.EXE、
    ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、
    ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、Iparmor.exe、
    JEDI.EXE、KAV32.exe、KAVPFW.EXE、KAVsvc.exe、
    KAVSvcUI.exe、KVFW.EXE、KVMonXP.exe、KVMonXP.kxp、
    KVSrvXP.exe、KVwsc.exe、KvXP.kxp、KWatchUI.EXE、
    LOCKDOWN2000.EXE、Logo_1.exe、Logo1_.exe、LOOKOUT.EXE、
    LUALL.EXE、MAILMON.EXE、MOOLIVE.EXE、MPFTRAY.EXE、
    N32SCANW.EXE、Navapsvc.exe、Navapw32.exe、NAVLU32.EXE、
    NAVNT.EXE、navw32.EXE、NAVWNT.EXE、NISUM.EXE、NMain.exe、
    NORMIST.EXE、NUPGRADE.EXE、NVC95.EXE、PAVCL.EXE、
    PAVSCHED.EXE、PAVW.EXE、PCCWIN98.EXE、PCFWALLICON.EXE、    
    PERSFW.EXE、PFW.EXE、Rav.exe、RAV7.EXE、RAV7WIN.EXE、
    RAVmon.exe、RAVmonD.exe、RAVtimer.exe、Rising.exe、
    SAFEWEB.EXE、SCAN32.EXE、SCAN95.EXE、SCANPM.EXE、
    SCRSCAN.EXE、SERV95.EXE、SMC.EXE、SPHINX.EXE、
    SWEEP95.EXE、TBSCAN.EXE、TCA.EXE、TDS2-98.EXE、
    TDS2-NT.EXE、THGUARD.EXE、TrojanHunter.exe、VET95.EXE、
    VETTRAY.EXE、VSCAN40.EXE、VSECOMR.EXE、VSHWIN32.EXE、
    VSSTAT.EXE、WEBSCANX.EXE、WFINDV32.EXE、ZONEALARM.EXE、
    修复工具.exe

网络行为:

1、连接网络下载病毒文件:

    连接网络:

    c.8**.us(59.60.155.**)
    a.8**.us(58.53.128.**)
    e.8**.us(218.75.159.***)
    f.8**.us(59.60.157.**)


    
    下载病毒文件并自动运行:

    00001[1].exe 17,118字节
    Trojan.Win32.Vaklik.bx

    00002[1].exe 15,773字节
    Trojan-PSW.Win32.OnLineGames.lnx

    00003[1].exe 15,567字节
    Trojan-PSW.Win32.OnLineGames.lmz

    00004[1].exe 17,067字节
    Trojan-PSW.Win32.OnLineGames.lqb

    00005[1].exe 15,359字节
    Trojan-PSW.Win32.OnLineGames.llm

    00006[1].exe 15,551字节
    Trojan-PSW.Win32.OnLineGames.llj

    00007[1].exe 16,079字节
    Trojan-PSW.Win32.OnLineGames.lpt

    00008[1].exe 17,060字节
    Trojan-PSW.Win32.OnLineGames.lqz

    00009[1].exe 16,972字节
    Trojan-PSW.Win32.OnLineGames.lrf

    00010[1].exe 15,539字节
    Trojan-PSW.Win32.OnLineGames.lmz

    00011[1].exe 15,185字节
    Trojan-PSW.Win32.OnLineGames.lmz

    00012[1].exe 16,800字节
    Trojan-PSW.Win32.OnLineGames.lrb

    00013[1].exe 16,860字节
    Trojan-PSW.Win32.OnLineGames.

    00015[1].exe 16,588字节
    Trojan-PSW.Win32.OnLineGames.let

    00016[1].exe 15,942字节
    Trojan-PSW.Win32.OnLineGames.lrc

    00017[1].exe 17,006字节
    Trojan-PSW.Win32.OnLineGames.lrb

    00023[1].exe 19,440字节
    Trojan-PSW.Win32.OnLineGames.jct

    host[1].exe 5,412字节
    Trojan.Win32.Qhost.aaf

    wdlm[1].exe 14,448字节
    Trojan-Downloader.Win32.Small.gwi

    soundma[1].exe 51,042字节
    Trojan.Win32.Agent.diq

    lmmy[1].exe 14,644字节
    Trojan-PSW.Win32.OnLineGames.kaw

    lmmh[1].exe 14,533字节
    Trojan.Win32.Small.uj
    
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
     
清除方案:
    1 、使用安天木马防线可彻底清除此病毒(推荐)。

    2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
        (1)使用安天木马防线“进程管理”关闭病毒进程。
        (2)删除病毒文件:
          %DriverLetter%\ntldr.exe
          %DriverLetter%\ntldr.exe
          %Windir%\Fonts\system\ati2evxx.exe
          %Temporary Internet
          Files%\00001[1].exe
          %Temporary Internet
          Files%\00002[1].exe
          %Temporary Internet
          Files%\000031].exe
          %Temporary Internet
          Files%\00004[1].exe
          %Temporary Internet
          Files%\00005[1].exe
          %Temporary Internet
          Files%\00006[1].exe
          %Temporary Internet
          Files%\00007[1].exe
          %Temporary Internet
          Files%\00008[1].exe
          %Temporary Internet
          Files%\00009[1].exe
          %Temporary Internet
          Files%\00010[1].exe
          %Temporary Internet
          Files%\00011[1].exe
          %Temporary Internet
          Files%\00012[1].exe
          %Temporary Internet
          Files%\00013[1].exe
          %Temporary Internet
          Files%\00015[1].exe
          %Temporary Internet
          Files%\00016[1].exe
          %Temporary Internet
          Files%\00017[1].exe
          %Temporary Internet
          Files%\00023[1].exe
          %Temporary Internet
          Files%\host[1].exe
          %Temporary Internet
          Files%\wdlm[1].exe
          %Temporary Internet
          Files%\soundma[1].exe
          %Temporary Internet
          Files%\lmmy[1].exe
          %Temporary Internet
          Files%\lmmh[1].exe

        (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
          \Windows\CurrentVersion\Run]
          注册表值:"TBMonEX"
          类型: REG_SZ
          字符串:"%Windir%\Fonts\system\ati2evxx.exe"
          描述:添加自启动

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章