2008-04-14

病毒 c:\windows\hinhem.scr

病毒 c:\windows\hinhem.scr
2008-03-27 10:06

一打开EXCEL表就出现自动粘贴网址,疑中病毒,IT专家求助贴.

本人一直为别人IT SUPPORT,没想到今天遇到一个同事遇到的问题,束手无策,请专家中的专家帮忙解答.
一台局域网的PC,不知道做了什么操作.一打开EXCEL表就自动粘贴些地址在EXCEL里.
c:\windows\hinhem.scr
www.freewebtown.com/gaigoisaigon

并且打开记事本的话可以直接粘贴c:\windows\hinhem.scr到记事本上(之前并没有COPY这些内容)
非常奇怪.此PC上已经安装最新的正版McAfee杀毒软件并且没有任何报警.
本人多年的SUPPORT经验,对此没有什么头绪,因为是正规的大公司,所以也无法随便使用其他工具来测试,所以希望知道这个问题的朋友给点头绪,谢谢大家.

楼主中的是一种蠕虫病毒。
详细资料如下:
Worm.Autorun.k.225604

这是一个用autoit脚本编写的蠕虫病毒。病毒运行后先复制自身至系统文件夹,然后生成病毒文件,修改注册表以自启动。病毒会自动生成计划任务
程序,以达到每天准时启动病毒。病毒尝试复制自身至每个共享的磁盘,并以磁盘下的目录命名,另外,该病毒的图标是一文件夹,很容易使人不小心点击中毒。
病毒还会尝试从远程服务器下载以下病毒样本并安装

1.病毒运行后复制自身至
%sys32dir%\scvhost.exe
%sys32dir%\blastclnnn.exe
%windir%\scvhost.exe
%windir%\hinhem.scr
并生成
%sys32dir%\autorun.ini
%windir%\security\tmp.edb
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job

2.生成注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares shared "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NofolderOptions dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule AtTaskMaxHours dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Yahoo Messengger "%sys32dir%\scvhost.exe"

3.自动生成计划任务,自动运行以下文件,并修改注册表设置属性为每天9:00自动运行,注释为:"由 NetScheduleJobAdd 创建。"
%sys32dir%\blastclnnn.exe

4.病毒常驻一进程名为scvhost.exe进程,和系统svchost.exe进程相似,有一定的伪装性

5.病毒尝试传播自身,会复制自身至每个共享的磁盘,并以磁盘下的目录命名,如
磁盘名:\目录名.exe

6.尝试从远程服务器下载以下病毒样本并安装
hxxp://setting3.9999mb.com/setting.doc
hxxp://setting3.9999mb.com/setting.xls
hxxp://www.freewebs.com/setting3/setting.doc
hxxp://freewebs.com/nhattruongquang/setting.xls

[size=4]建议升级病毒库安全模式查杀,或者直接使用AVGAntiSpyware查杀。
其实就是一种autorun类的病毒
[/size]。

C:\WINDOWS\hinhem.scr

Win32.Troj.Autorun.mq.226304打卡签到下载者

病毒行为:

这是个具有一定伪装性的木马程序。病毒运行后禁止用户使用部分系统工具,并自于每天9点自动运行。由于 病毒进程名和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,对用户具有一定的迷惑作用。病毒会尝试搜索局域网内其它电脑的共享文件 夹,将名为"New Folder.exe"的病毒文件复制到其中。病毒还会注入用户机器上的即时聊天工具"雅虎通"的进程,利用它来发送病毒网页的链结。另外,病毒还会下载 恶意程序安装至用户计算机。

这是一个使用AutoIt编写的木马程序。病毒运行后复制自身至系统文件夹,修改注册表启动项以开机自启动,禁止用户使用"任务管理器"、"文件夹选项"、"注册表工具",
病毒会自动创建计划任务,于每天9点自动运行。病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,有一定的伪装性。病毒还
尝试通过网络共享进行传播,并使用"New Folder.exe"文件名复制到每个发现的共享中。病毒还会检测用户机器上的"Yahoo! Messenger",并利用其发送信息。另外,病毒还会
在后台尝试下载恶意程序安装至用户计算机。
7.病毒详细描述:
(1)生成病毒文件
%windir%\hinhem.scr
%windir%\scvhosts.exe
%sys32dir%\autorun.ini
%sys32dir%\blastclnnn.exe
%sys32dir%\scvhosts.exe
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job

(2)生成注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares shared "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NofolderOptions dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Yahoo Messengger "%sys32dir%\scvhosts.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule AtTaskMaxHours dword:00000000

(3)修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell "Explorer.exe" "Explorer.exe scvhosts.exe"

(4)病毒尝试创建一个计划任务AT1,描述如下:
运行:%sys32dir%\blastclnnn.exe
注释:由 NetScheduleJobAdd 创建。
运行方式:NT AUTHORITY\SYSTEM
运行计划:每周 9:00 开始

(5)病毒修改注册表,禁止用户使用"任务管理器"、"文件夹选项"、"注册表工具"

(6)病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,有一定的伪装性

(7)病毒尝试通过网络共享进行传播,并使用"New Folder.exe"文件名复制到每个发现的共享中

(8)尝试连接以下网址下载恶意程序
hxxp://s*tt*ng.doc.fish.cn/1.exe
hxxp://www.0f**h.cn/1.exe
...

(9)检测用户机器上的"Yahoo! Messenger",并利用其发送以下信息之一,并附带网址http://t***aithoi.xlphp.net
E may, vao day coi co con nho nay ngon lam
Vao day nghe bai nay di ban
Vao day nghe bai nay di ban
Biet tin gi chua, vao day coi di
Trang Web nay coi cung hay, vao coi thu di
Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...
Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...
Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...

(10)病毒定时的终止"cmd.exe" 和 "game_y.exe"进程,关闭包含以下标题的窗口,
"System Configuration"
"Registry"
"Windows Task"
"[FireLion]"

Win32.Troj.Autorun.mq.226304
病毒名称(中文):
打卡签到下载者
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
226217
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
Tags:Autorun.mq 打卡签到下载者 木马程序 自动运行 New Folder.exe 下载恶意程序

http://hi.baidu.com/01aa/blog/item/f1db2dd1c5ca5b3c9a502742.html



--
[垃圾桶] ��有��群�?�您有超� 6423.752806 MB (�在增加中) 的免��存空��,��需要�除�件?!

沒有留言: