Win32.Troj.AutoRun.sd.184320是一个下载器,在运行后,病毒会立即从网络上下载大量的病毒,盗取用户的游戏帐号。
由于该Win32.Troj.AutoRun.sd.184320病毒会注入很多DLL到系统进程中,所以会导致系统运行不稳定。病毒还会逃避杀毒软件的查杀。
病毒运行后会删除自身
1、释放文件
C:\WINDOWS\system32\65BE9A60.EXE 这个是病毒文件自身的拷贝
C:\WINDOWS\system32\6EB5FBA0.DLL
这些文件名都是根据用户记得的不同磁盘分区的分区信息计算出来的
在每个磁盘分区的根目录下释放文件
C:\auto.exe 这个为病毒自身的拷贝
C:\autorun.inf
2、修改注册表
添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Type dword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ImagePath "C:\WINDOWS\system32\65BE9A60.EXE -k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 DisplayName "ECCA8260"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Description "6EB5FBA0"
禁止显示隐藏文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
3、病毒的服务程序
病毒的的服务将6EB5FBA0.DLL这个文件加载到winlogon, svchost.exe进程里。6EB5FBA0.DLL从网上下载一个配置文件,并该文件里的病毒URL列表下载病毒并运行
下载的病毒有传奇盗号木马。病毒作者可以更改病毒的配置文件,从而是病毒能下载病毒作者希望的其他病毒。
4、6EB5FBA0.DLL还会定期检查每个磁盘根目录下的auto.exe和autorun.inf是否存在,注册表服务项是否存在,如果不存在就马上重新生成
5、关闭用户系统的WINDOWS防火墙,关闭常用的杀毒软件
6、该病毒在代码里面加入了大量的垃圾代码,干扰分析人员。
怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址:
http://www.antidu.cn/board/online/
已经中毒的用户,可以去论坛提问求助
http://bbs.antidu.cn