位置導航:網站首頁<<<U盤行業知識<<<新的加強版的AV終結者,感染U盤(autorun.inf)
新的加強版的AV終結者,感染U盤(autorun.inf)
加強版的AV終結者,具有了感染exe,htm等文件的功能,望大家密切注意防范。
技術細節:
1.病毒運行后,釋放如下副本
%systemroot%\Downloaded Program Files\00098580.DAT(隨機八位數字字母組合)
%systemroot%\Downloaded Program Files\00098580.exe(隨機八位數字字母組合)
在每個分區根目錄下面釋放00098580.exe(隨機八位數字字母組合)和autorun.inf 達到通過移動存儲傳播的目的
autorun.inf文件內容如下
[autorun]
open=00098580.exe(隨機八位數字字母組合)
shellexecute=00098580.exe
shell\auto\command=00098580.exe
BLACKSEEDER1.1=101
2.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下面添加啟動項目{MSLOGON}{%systemroot%\Downloaded Program Files\00098580.exe} []
達到開機啟動自身的目的
3.提升自身權限,結束如下進程
4.關閉帶有如下關鍵字的窗口
5.停止如下服務的運行,并將其啟動類型設置為禁用
6.遍歷exe com scr bat cmd pif文件 進行感染(有選擇性的感染)
被感染文件被加入了一個名為BSDR1.1的區段
7.遍歷htm html asp aspx php文件 在尾部加入{iframe src=http://*/index.htm width=0 height=0}{/iframe}的代碼
8.00098580.DAT應該起到保護00098580.exe進程的作用,測試中幾乎任何軟件都無法結束00098580.exe的進程
9.啟動一個IE進程 進行下載操作 (未實現)
解決辦法:
下載 sreng:
重啟進入安全模式下(開機后不斷 按F8鍵 然后出來一個高級菜單 選擇第一項 安全模式 進入系統)
1.打開Winrar(注意:如果winrar也被感染,請重裝winrar后再解壓文件,推薦重裝winrar)
點擊 右邊的下拉菜單 定位到%systemroot%\Downloaded Program Files\文件夾下面
找到類似00098580.exe的隨機8位字母數字組合的exe 和 DAT文件(二者文件名相同)右鍵 刪除它們
2.再利用Winrar分別打開各個分區根目錄
刪除autorun.inf和隨機8位字母數字組合的exe
3.打開sreng
啟動項目 注冊表
刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{MSLOGON}{%systemroot%\Downloaded Program Files\00098580.exe} []
4.使用殺毒軟件全盤殺毒,修復被感染的exe文件
5.修復被感染的網頁文件
U盤訂購熱線:0755-84524848 手機:13928466681 QQ: 384029020 24小時手機接聽:139 2846 6681 電郵:samuel@torovo.com 或與在線客服人員聯絡。欲了解更多U盤信 息請進正益通U盤廠家的U盤定制網站:http://www.crazymoments.cn 大客戶聯系: 13926502725 海外銷售: 0086-755-33078349
點擊更多U盤生產車間視頻實錄以上就是正益通U盤生產廠家事業部對于新的加強版的AV終結者,感染U盤(autorun.inf)話題的介紹,還有什么不了解的地方請直接咨詢U盤工廠在線客服,她們會一一為您解答。