主页修改7939.com病毒及其删除方案

风清扬斈 14年前 (2006-10-06) My Diraries 5229 0

该病毒主要修改主页为7939com,或者重定向HAO123.COM等同类网站,修改注册表,启动恶意进程,注入浏览器,导致内存消耗巨大,极大占用资源,而且恶意破坏HOSTS表,无复制性,无恶意攻击性,无木马特性,普通用户只会感觉主页被修改



档案编号:CISRT2006029 
病毒名称:Trojan-Downloader.Win32.Agent.aqr(Kaspersky) 
病毒别名: 
病毒大小:31,744 字节 
加壳方式:UPX 
样本MD5:e7addcce5060ab1b9e4ecf62ef8f64e1 
发现时间:2006.08 
更新时间:2006.08.28 
关联病毒: 
传播方式:通过恶意网站传播,通过其它病毒/木马下载 


技术分析 
========== 

Realplayer.exe运行后复制自身到系统目录%System%Realplayer.exe,在%Windows%目录下生成bat批处理删除原文件: 


CODE:[Copy to clipboard]:try 
del "Realplayer.exe" 
if exist "Realplayer.exe" goto try 
del %0 
Realplayer.exe释放%System%rlmon.dll,尝试插入Explorer.exe进程。 

创建启动项: 


CODE:[Copy to clipboard][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 
"Realplayer.exe"="%System%Realplayer.exe" 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 
"Realplayer.exe"="%System%Realplayer.exe" 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft NTWindowsCurrentVersionWinlogon] 
"Shell"="Explorer.exe %System%Realplayer.exe" 
修改IE主页: 


CODE:[Copy to clipboard][HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain] 
"Start Page"="http://www.7939.com/" 
设置注册表信息: 


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDowninfo] 
"vvad"="0" 
以上注册表信息和%System%rlmon.dll文件大约每2秒会监视恢复。 

这个东西会结束下列进程: 
fint2005.exe 
Unlocker.exe 
unlockerassistant.exe 
HijackThis.exe 
DLLShow.exe 
RogueCleaner.exe 
DosTools.exe 
Killbox.exe 
uihost.exe 

尝试关闭窗口: 
瑞星注册表监控提示 
主动防御 警报 
AVP 

访问网络,从update.Virussky.com获得信息,尝试从down.Virussky.com下载更新版本。 


清除步骤 
========== 

1. 结束%System%Realplayer.exe进程 

2. 结束%Windows%Explorer.exe进程 

3. 通过任务管理器或其它进程管理工具把%Windows%Explorer.exe再运行起来,这样%System%rlmon.dll就没有被加载了 

4. 删除文件: 
%System%Realplayer.exe 
%System%rlmon.dll 

5. 删除病毒添加的启动项: 


CODE:[Copy to clipboard][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 
"Realplayer.exe"="%System%Realplayer.exe" 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 
"Realplayer.exe"="%System%Realplayer.exe" 
6. 删除病毒添加的注册表信息: 


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT] 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown] 
7. 恢复IE主页 

---其他

本人发现很多时候以上方法不太实用,本人建议

该病毒会占用大量内存,载进程中有明显Realplayer.exe驻留,并且注入浏览器,修改注册表RUN键值,并且修改HOSTS表后锁定权限导致某些网站重定向,偶尔会导致无法显示隐藏文件,即使你确认允许显示隐藏文件也无效

我的方法:

启动时按F8进入安全模式

打开注册表,查找7939.com 所有键值删除,[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]  也要删除,如果发现无法删除,请修改权限,打开系统目录%System%Realplayer.exe  %System%rlmon.dll  删除或自己新建一个0K大小同名文件拖入windownssystem32 文件夹内选择覆盖,因为很多时候无法显示系统文件,下来删除或修改%System%DRIVERecthosts,可以用记事本打开,只保留127.0.0.1 localhost这一行,最后修复浏览器,改回主页

"

相关推荐

  • 网友评论

    • (*)

    最新评论

    搜索