近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒,杀起来特麻烦。此病毒禁用了注册表和任务管理器,就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网,但百度知道却打不开。从网上找了很多种办法,用来恢复注册表和任务管理器,但都没成功。
中毒经历
刚开始的时候,是接到一个关于电脑报价的压缩包,由于是认识的人发送,一时降低了警觉,结果打开后中招。
先是在MSN上聊天后发现电脑无法关机,提示被限制。如图所示:
无法正常关机
强行关机重启后发现关机按钮消失,注册表编辑器、任务管理器打不开。
关机按钮消失
注册表被禁用
任务管理器被禁用
病毒简单分析
病毒监视可移动存储介质并向其写入Autorun文件,文件内容格式如下(不一定完全一致):
[autorun]
open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
shell\open\default=1 |
U盘图标被Autorun.inf定义为文件夹样式:
U盘图标变为文件夹样式
创建启动项并以隐藏进程运行:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
crypt
crypts.dll
c:\windows\system32\crypts.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Symantec Control Client
symclisvc.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symclisvc.exe
Symantec Control Client
symconfig.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symconfig.exe |
通过注册表限制用户关闭计算机:
注册表关机键值被修改
以图片形式通过MSN传播:
病毒本体文件
在虚拟环境下不运行,且劫持与安全相关的大量域名。
…………
127.0.0.1 www.dazhizhu.cn
127.0.0.1 www.f-secure.com
127.0.0.1 wwww.mcafee.com
127.0.0.1 www.avp.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.avast.com
127.0.0.1 www.duba.net
………… |
注:病毒插入了多个换行以误导用户认为hosts文件不存在域名劫持。
[1] [2] 下一页
[图文]实战清除MSN病毒NEW PHOTO(图)
您现在的位置: