这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
. L, r8 L M4 {; c4 _1 ?& M: d! ]1 R
1.病毒启动后,释放如下文件或者副本
; I/ b3 d8 O- \
%systemroot%\system32\soleboy.exe
$ n# m, M2 E7 g' @
%systemroot%\system32\soleboy.txt
s$ ~' Z' {3 K+ M
/ ]) S. T* a9 X" ^
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
' X# w5 b8 O0 G; U& v
# u( ~1 q' Z% p) t; | Q2.试图结束一些安全工具的进程
9 m1 p) _0 Y& e/ l8 O' R比如procexp.exe
' e; q, c# d# G+ @8 nU盘病毒免疫器
* o3 H. J5 z$ I. P" u; Q
avgnt.exe
$ Q/ Y5 j( x" t$ F6 z3 v
Psview.exe
! q- g; p5 \2 `' \9 u# r; D
PowerRmv.exe
! _3 k' b2 w% b' [# \' q, S, T7 XToolsLoader.exe
4 `, b: h* ?9 t5 u; T
FrameworkService.exe
/ i$ J7 d; I4 H0 U9 Q4 Q
...
6 H* _/ z- |( C- C5 Z* U1 ]9 e: u) ~3 J$ |9 o
3.映像劫持如下杀毒软件和安全工具:
% ^; |8 c& U' b4 I1 A9 s360Safe.exe
7 V& K! i9 a, ~0 m
360tray.exe
6 `- x# {2 G, u9 A. L3 B% G. r
ACAAS.exe
! D+ S" P) e: _- }+ ]/ @4 cACAEGMgr.exe
. ]8 D" M; V& MACAIS.exe
( I+ N) E8 ~2 i3 L0 i2 kACALS.exe
: N9 f& ~# [( S, G( W
ACASP.exe
1 _3 P+ H. W1 b g+ UACenter.exe
4 ^$ `. m# _; T3 d+ ?2 Z6 X
AFMain.exe
0 V% t( n& F4 I! `
AGB6.EXE
4 E5 @+ U" {- p' x
AGBKrnl.exe
! q) v3 X6 q0 O$ {& {2 }4 o; [AhnSD.exe
: |; t( M q7 c! u! E3 f3 M# fAhnSDsv.exe
! f0 v5 \9 Q; \9 Z& H, s, @# C- Y( zAluSchedulerSvc.exe
3 }$ C x$ v. ?AScheduleService.exe
9 B* n7 `3 k: `3 bAST.exe
6 Y! l) R2 h* ~5 c9 v" x4 a1 N- xavcenter.exe
) m2 w9 F/ ?; `3 e O( ?$ G) havgnt.exe
9 f5 H; z2 l* @
avguard.exe
2 f$ A- ~4 l5 E& [CCenter.exe
# C/ o3 W6 W% Y, D. SccSvcHst.exe
, p; _- ^) g3 Q y
FilMsg.exe
' Z- ^0 i# k% `FrameworkService.exe
/ g6 b( G; B5 d: ]6 g# t
KASMain.exe
W9 W! `' v8 c
KAV32.exe
' p7 H( w6 I1 ^3 T9 U4 L
KVIETools.exe
+ _! U6 d) w" i% M! j
kvsrvxp.exe
& g' o* t* P8 z
KWatch.exe
+ ]) F4 I4 o1 }6 U3 E. `mcconsol.exe
9 u, R- D+ ]1 T$ k E& S1 PMcshield.exe
6 t; n0 B: k8 f' e6 E2 n
MPMain.exe
, W- n, w# M, |( VMPMon.exe
5 h: V4 Z i* B% o# S4 uMPSVC.exe
! Z2 w! I) _( a! |% OMPSVC1.exe
k8 j1 x% g/ {2 gMPSVC2.exe
5 Q( U' [7 O; [* p- m' w0 hMSProxy.ahn
, t! ]4 a$ q2 g$ |& X
naPrdMgr.exe
: V% R- N# j4 O4 E9 Z: F( cnod32krn.exe
$ C: H7 O4 q' A" E/ Enod32kui.exe
) A0 g9 P( T4 L& N: {3 C( kPCCIOMON.EXE
" J; m; g4 E6 o x
PCCVScan.exe
# v, M$ i* C! Z; y
PCMAIN.EXE
4 V, `, J5 h8 w$ B' W4 T0 j* B0 O
PowerRmv.exe
5 P3 \6 z; C( k, Hpsview.exe
6 F! E: _9 `" B! }8 E3 G. gRav.exe
4 h9 S, N1 u5 g! V0 y8 F& RRavMonD.exe
3 p. l* H4 U N: \% gsched.exe
5 |* c8 ? r4 f
sessmgr.exe
; H0 }* T6 {( I: @! D
shstat.exe
7 `! H/ W9 T* m8 z
SnipeSword.exe
5 L- P" [; ~, Q! g7 k2 @2 Q+ JTRIALMSG.exe
8 q8 m0 f, d6 i5 K) eTwister.exe
$ g" v/ M( `! @+ H9 h3 ]3 j
vcn.exe
) m+ Y1 U% k, @0 Q. x
vcs.exe
2 D9 v) L' o2 J* E; Pvcw.exe
8 b+ v" Y/ M3 C
VsTskMgr.exe
0 b% C. ~5 W& G
劫持到%systemroot%\system32\soleboy.exe
7 m& S. G1 ~1 u1 X3 Q' `
+ X3 M& g- E) u4 W5 Y, G4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的
& E5 W) ^: M9 q6 `8 W6 |
# _ w" s* J5 x( o5 @5.修改com和exe文件的文件关联指向soleboy.exe
* `, r! \: d% ?4 ~5 SHKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
# P4 Z& T) I1 G! p, i# I# ?) H: V
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"
6 M3 _+ j5 R% J: r
/ x0 A( E9 M3 t6.修改exe的图标关联 指向soleboy.exe,使得所有exe图标变成小狗图案。
& O4 C0 k# @$ b7 t) }6 pHKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"
1 E- n8 q6 H0 t8 U, Z0 [! A
/ j/ v( a& P# N: m- ?" @4 d
142c678d3e15bd03b31bbac0.jpg (90.64 KB)
: {& g/ J' ~- e1 ~+ t& C) i% s" n% N
2008-4-3 09:29
9 P% y0 I: T( F# O7 M, N5 U
, i0 R9 e: K" V [5 P4 f5 K( ?2 r; C
7.查找带有如下字样的窗口,找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
3 G5 [- q2 L! b5 ?
瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
& q) |9 @5 c; t9 V' G1 S5 n( d
Windows 任务管理器
( b& T9 ~2 t1 c; j4 `8 C: w注册表编辑器
7 x$ p2 |/ L# x2 t' ]0 v( x江民进程查看器
; c+ v; f' s' b' t
欢迎光临江民科技[网络安全,选择江民] - Windows Internet Explorer
7 e3 J4 F- j( B
金山毒霸信息安全网-免费下载杀毒软件 - Windows Internet Explorer
" n' I; y* W1 r: M卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
1 ]0 I) b2 b. G+ H4 [- @360安全卫士-Windows Internet Explorer
+ p7 r: b( d& \% B防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案-赛门铁克公司-Windows Internet Explorer
$ {$ H0 l- f# X大型企业 - 趋势科技 中国 - Windows Internet Explorer
3 K: d/ k; P; t2 l& f: U h( Y) l
东方微点 - Windows Internet Explorer
! D6 q* t2 I, @; w( ]$ y...
) G* G8 k1 Y Y1 b1 \
6 {* Y+ `8 u8 Y; @5 U8 删除%systemroot%\system32\taskkill.exe
6 Z8 ~, ^9 M* }) _7 L$ m1 [0 R& P0 K+ x I. J3 ~& |! @& I
9.作者在soleboy.txt中写道:
' A j, S. X* B% e$ }8 k3 F
. W& p9 X7 {+ u, a* ^# wI want to go to university.
. r) F! o; q3 P; f, }$ j- P) t5 B
I think Jiangmin Antivirus Software is the best security software!
8 v( T* O+ C0 ?2 ]" [& H4 M) F
Don't worry ,I won't destroy your data.
9 d, m0 o* s3 i9 K5 h4 [! @. v6 ^8 Z a1 _& p, \ h
解决方法:
' D* P' C( a1 V- J+ |; D" U# y下载sreng,Icesword
6 i7 u9 W& K5 {! P: u0 L3 |sreng:
http://www.skycn.com/soft/23312.html#download+ o# x {1 D7 i, t# `; j! |5 y) L
Icesword:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip5 ^6 c" C! ^- p+ f, B8 m0 K4 t6 ~
/ l& h; J) T) ^已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
6 q# Y2 v2 G( W3 v _+ c: v9 r) G# y& o- {2 S1 M! G T9 n( W
然后单击winrar菜单栏“文件”按钮 打开压缩文件
, F' D. {" B' }& K2 Z/ g3 o4 t 07f2f3118a7bf2d7a7ef3fb1.jpg (64.26 KB)
5 p! _" N, h `( E* B+ `# ]7 _, H& R% A
2008-4-3 09:29
3 V1 B, e4 M/ a2 i
) @: O7 ]$ U6 c/ ^
5 F1 c. C9 M- j. B, Q y( x# T
分别解压sreng和Icesword
|& _1 ?" B2 Z" z
! f5 l) N) c9 r* w5 o" D1.把Icesword.exe改名为1.bat运行
4 C4 }7 R7 k% o& G) t
打开Icesword-进程
) K. h2 r+ R, u& U( v2 n
结束soleboy.exe进程
0 e4 Q0 t; A/ Q- N
* e4 v$ \ h! z% i5 Z
7 w' {+ h: n3 U8 d( k% z- v 556a57a90d4f4bed1e17a2cf.jpg (131.99 KB)
# k9 R4 w) a; V" w5 e6 Y t; @1 E7 J+ @4 }- I( L
2008-4-3 09:29
' t% `3 l* g1 A6 t y8 B
2.同样方法解压sreng
/ e' S+ W# m* R/ Y) A) d把srengps.exe改名为 2.bat运行
3 j6 o' G% c' Q7 }启动项目 注册表
6 }; H: f0 n0 I: a9 D0 ^
删除如下项目
; R: ?4 L# e; }6 u Y' J[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
0 i$ V! ~# |4 a) @- v3 N
[Soleboy]
7 T! y b. F' Q6 n& F
并删除所有红色的IFEO项目
+ [; f, ?* A* j& R: q# x+ t8 | G6 D: n0 r* j" Q
d261311fdd5155d9a78669b8.jpg (102.16 KB)
/ N5 v4 i/ n' e! ]0 T; ?, D- {6 r. L% I# [' |
2008-4-3 09:29
9 |" i6 x _5 ]3 i7 F( O1 a
" T* }4 q, Y1 u系统修复 文件关联 点击“修复”按钮
6 z5 p- n/ ]+ c7 _& W% {
8 ~& f& D- U. s0 E* |" ]' U( y9 j3.开始 运行 输入regedit
7 F8 [ |7 z, o; m: j
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" (不包括引号)可爱的“小狗上学”病毒!!!
, f2 w6 _/ ~( z* T& ~7 s可爱的“小狗上学”病毒2008-03-29 16:18作者:清新阳光 (
http://hi.baidu.com/newcenturysun)
+ G9 F, Q! H( ?日期:2008/03/29 (转载请保留此声明)
7 }' o G. @) O; I) S
样本来自网友qcqyt,在此表示感谢
0 }" F0 C8 Q/ |: ~+ c. ?- U
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
6 \/ d, I D' g: S3 c" S
1.病毒启动后,释放如下文件或者副本
! E2 ^4 {' j& F' c0 ?8 `4 H9 x
%systemroot%\system32\soleboy.exe
* C5 g$ M& d/ I0 I+ a! y$ U
%systemroot%\system32\soleboy.txt
1 k9 ^5 e0 p* W9 A3 o# {
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
* \* S. E! U, |1 z4 L2.试图结束一些安全工具的进程
& b, P3 v1 K; X比如procexp.exe
2 i" U" ?( S C9 g# y% _! ^U盘病毒免疫器
" C+ F& e' _! _8 D" [1 i yavgnt.exe
/ Y8 L. I- y2 S6 o0 }3 QPsview.exe
) N2 O/ X/ C" `" a, d1 k" {2 ^4 G. `9 w
PowerRmv.exe
7 C f7 w1 M2 w+ x$ ^7 |
ToolsLoader.exe
( ?2 \. \6 u1 PFrameworkService.exe
) a3 o, ~6 G+ m8 O3 |
...
# U$ M4 N" J3 d! X9 q3.映像劫持如下杀毒软件和安全工具:
g. a, b0 X1 N" o" K360Safe.exe
3 A n4 c! A# f' m$ ^# _
360tray.exe
: m+ Z, } y- S0 u* k, ~. I# fACAAS.exe
W" ?6 R, t, f( F. o
ACAEGMgr.exe
" x7 c0 r- L$ b' v' yACAIS.exe
2 B2 Y& Q7 p$ K" f* t$ w
ACALS.exe
% Q# Y8 H) v; B. p- CACASP.exe
8 [) B' q8 ^+ I& W' @8 Z" |
ACenter.exe
* I+ N: c$ s5 g& B% Q* @AFMain.exe
$ w2 @2 ^1 }) m/ _AGB6.EXE
1 K1 I4 ~# ~8 C( L# LAGBKrnl.exe
. p9 M+ X% k$ o9 C9 T
AhnSD.exe
( I; {' t* g4 Q9 uAhnSDsv.exe
. J S# x2 Y. _( }% \AluSchedulerSvc.exe
1 _) L# Y9 a# }. N, K' hAScheduleService.exe
8 }" E/ u9 E8 t8 \" c9 [4 a
AST.exe
/ w8 ^$ S% e6 c/ F5 m, cavcenter.exe
( x* m0 d. d& B2 d5 T
avgnt.exe
- X# N" ~0 }& E
avguard.exe
. W6 ^/ ^* `/ wCCenter.exe
7 W3 B# }/ j- s' I2 R V2 g/ EccSvcHst.exe
. B9 n9 I0 E1 c5 i9 U* X" mFilMsg.exe
- F4 M' X2 T F6 u+ Z0 f1 u) t
FrameworkService.exe
$ r0 ]5 U4 n6 V5 }0 g+ L- {& \! cKASMain.exe
! n3 i5 l8 H; @KAV32.exe
V; b8 R8 B3 @' z+ X: ^3 ^
KVIETools.exe
) u T: c e i
kvsrvxp.exe
" F* @" I, [8 x% S2 ]$ V& ZKWatch.exe
4 N& s; @2 `5 Y9 O6 Amcconsol.exe
# y- Q' O% J5 SMcshield.exe
, I0 C7 W$ s* N: b
MPMain.exe
3 y2 d9 [+ `( S$ t) e' n4 l1 ?
MPMon.exe
& E: t" \: g6 f6 F7 _MPSVC.exe
' `' \6 @9 c0 A0 Z M- A
MPSVC1.exe
; B' j( o' C: ^9 u7 l/ d$ q
MPSVC2.exe
- q6 g7 t% i Z, M2 h! SMSProxy.ahn
1 k% Y% B m, u, TnaPrdMgr.exe
: u! ]% G# G/ X' E7 [0 p3 k
nod32krn.exe
8 M, M- r* n/ X( D4 @! z
nod32kui.exe
* R' g! x# ?3 {2 L# {# M. T
PCCIOMON.EXE
. ~: z# c, n+ U& D0 }7 jPCCVScan.exe
/ x) P Q! o- @5 r: S" G% ?PCMAIN.EXE
# z( X4 O1 X: ~+ {PowerRmv.exe
" h8 `' E! @0 _' S8 l1 B: {
psview.exe
4 ?4 C; O7 f. a4 r
Rav.exe
" f6 _2 ` q, L! s1 N( m# M
RavMonD.exe
3 W& I, L2 c) ?' r# g. c& l
sched.exe
7 L+ N* r* m6 K: P8 i7 N
sessmgr.exe
4 B9 u: C( k" ]" ?1 ~shstat.exe
6 k' p0 O- @6 p8 Z. ?- `- q2 E/ p
SnipeSword.exe
9 \* \/ X4 z; a
TRIALMSG.exe
* L4 f* _; J2 `) D/ tTwister.exe
1 A" v6 s4 L+ {# }* vvcn.exe
) ]- z4 p# i2 Ovcs.exe
# s$ [! P {& z; D& U x8 nvcw.exe
* Z* E9 m- y; M3 N$ D: f9 ], q
VsTskMgr.exe
+ i% w# e5 o8 @( s; l$ a, s- q& Y
劫持到%systemroot%\system32\soleboy.exe
* A2 @( M% p+ s3 s# n2 N4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的
) l2 y4 T" ?* N- k5.修改com和exe文件的文件关联指向soleboy.exe
! X# r. j" A3 x% W. x
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
3 v1 \% c( L+ s5 w7 C* F/ a
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"
/ [. r. s- S3 }- ?* N7 [/ r6.修改exe的图标关联 指向soleboy.exe,使得所有exe图标变成小狗图案。
# k0 [- P% m1 n# E
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"
& Q9 {+ b+ X: [% t6 W
9 T# k# D/ P# |, t' N6 R
9 s/ T0 o; v! F5 @& v% }2 X( M; [6 e6 N+ _. y2 V9 _
2 {1 m+ I+ _$ H142c678d3e15bd03b31bbac0.jpg (90.64 KB)
* C5 q2 y/ }4 K2008-4-3 09:29
! L9 \6 K6 K9 J" P5 _6 w* }
7.查找带有如下字样的窗口,找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
2 u& S) Z- j6 \, ]" X瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
( }7 ?( r% y" X2 |9 V5 Y: c9 z
Windows 任务管理器
+ C5 _8 [, S# j6 |& Z4 x* {
注册表编辑器
, s* U& E% R8 D7 t( A H# @
江民进程查看器
% c- P" g) ]- ?* F/ @( K
欢迎光临江民科技[网络安全,选择江民] - Windows Internet Explorer
+ s" X* m$ J( ?9 s9 n& r3 ^. F金山毒霸信息安全网-免费下载杀毒软件 - Windows Internet Explorer
k- {& q- t1 I" x卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
! K. s- G$ b0 V, f8 |% V7 U360安全卫士-Windows Internet Explorer
' k$ E) b/ T$ _/ s" r) z) B! @/ x
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案-赛门铁克公司-Windows Internet Explorer
3 d4 H5 h, V# J大型企业 - 趋势科技 中国 - Windows Internet Explorer
/ z' o1 A: N+ v- s
东方微点 - Windows Internet Explorer
$ V3 o D Y2 E% g...
+ [0 [8 v9 g0 x$ u
8 删除%systemroot%\system32\taskkill.exe
/ ~$ w) v8 o! d# V2 E; X9.作者在soleboy.txt中写道:
5 a$ i% `4 C( l9 FI want to go to university.
) }% C3 {4 G/ r/ Z5 \
I think Jiangmin Antivirus Software is the best security software!
" O7 ?5 W' S: Y9 d$ ~1 SDon't worry ,I won't destroy your data.
' R+ F4 V" b# M/ t- {/ W解决方法:
) y8 o7 c" M' B9 l4 x# `# p
下载sreng,Icesword
4 R, b1 U$ k1 s- f" S$ Ysreng:
http://www.skycn.com/soft/23312.html#download$ _2 X6 M |1 p# w$ P9 l& f) V
Icesword:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
: o2 a2 T' w) F% c已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
- x' Y+ H+ b5 J& n
然后单击winrar菜单栏“文件”按钮 打开压缩文件
9 z! U! c! n8 p% c
: B8 i. G1 i, }2 i) R+ A
8 n8 D: y, y6 ~# V4 d4 J. a& l% K
2 J" K& |: Z! o07f2f3118a7bf2d7a7ef3fb1.jpg (64.26 KB)
0 e/ ^% a2 T; R
2008-4-3 09:29
& z5 g. ?5 M7 ^6 Q8 p8 F
分别解压sreng和Icesword
9 i& z8 \3 Y$ {/ L' i6 m7 C3 g
1.把Icesword.exe改名为1.bat运行
' w, r& d* I& L# Q打开Icesword-进程
) [% _ y5 i) v3 E9 D$ u
结束soleboy.exe进程
3 c0 Y; a0 p6 E
7 V' T6 i6 K9 d; q3 Y
7 J5 U% V4 x0 { Z6 O( X3 b( ]* |9 r( b4 E; c' b! R" ]
1 `6 p& x- n+ a6 `. h556a57a90d4f4bed1e17a2cf.jpg (131.99 KB)
( r& Q d1 g' X& `7 k4 |) ?: B
2008-4-3 09:29
1 ?- z8 s7 z# H2.同样方法解压sreng
0 c% M6 S) W/ W" N. W/ ?' t* O! p把srengps.exe改名为 2.bat运行
* j' J. e' m$ o启动项目 注册表
' Q- i' r2 i% w; v删除如下项目
! a4 w0 l6 |* F9 N% {
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
# F* N/ O6 x1 f: h" K5 ^. q[Soleboy]
* ~; O: E, X, h4 v8 Z$ U
并删除所有红色的IFEO项目
: S/ R7 s% G. X
$ g+ z% z" z: s$ P% S3 ?, |6 I
) h' c, e; ^ V& e- {
# R: t' ?5 d6 U; B2 w" U! }2 e' q, c
d261311fdd5155d9a78669b8.jpg (102.16 KB)
l5 a/ Z2 [5 {0 m( `2008-4-3 09:29
1 e0 t2 o7 N, Z9 v& u
系统修复 文件关联 点击“修复”按钮
6 d: n6 q& c' J. t2 M
3.开始 运行 输入regedit
% N. d' ~# F0 Q0 o9 v I
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" (不包括引号)
