首页-专杀工具-杀毒学院-杀毒软件-防火墙-辅助工具-网络安全新闻-杀毒方法-在线杀毒-专题-漏洞-杀毒论坛 rss
杀毒网 > 杀毒方法 > 特洛伊病毒Win32.Mosfin.Y,ADSAL.CHM清除

特洛伊病毒Win32.Mosfin.Y,ADSAL.CHM清除

2008-04-07 来源:整理
网络安全提示:特洛伊病毒Win32.Mosfin.Y能够通过修改系统设置来降低系统安全性,下载并运行其它的文件。特洛伊还会在被感染机器上掩饰病毒的存在

特洛伊病毒Win32.Mosfin.Y能够通过修改系统设置来降低系统安全性,下载并运行其它的文件。特洛伊还会在被感染机器上掩饰病毒的存在。

Win32.Mosfin.Y感染方式:
运行时,Win32/Mosfin.Y生成以下文件,文件属性为只读,隐藏,系统属性:
%Windows%\Help\ADSAL.CHM
%Program Files Common%\SYSTEM\<8 random characters>.dll
%Program Files Common%\SYSTEM\<8 random characters>.dat

病毒还会复制到启动文件夹中,以确保每次系统启动时加载病毒:
%Profile%\Start Menu\Programs\Startup\<6 random characters>.exe
%AllUsersProfile%\Start Menu\Programs\Startup\<6 random characters>.exe

Mosfin.Y生成以下注册表键值:
HKCR\CLSID\<Random Class ID>
HKCR\CLSID\<Random Class ID>\(default) = ""
HKCR\CLSID\<Random Class ID>\InProcServer32
HKCR\CLSID\<Random Class ID>\InProcServer32\(Default)
= "%Program Files Common%\SYSTEM\<8 random characters>.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks\<Random Class ID>

以下是特洛伊添加注册表键值的一个示例:
HKCR\CLSID\{10711134-1344-4413-4071-444401134471}

Win32.Mosfin.Y危害:
停止进程
Win32/Mosfin.Y如果找到以下进程就会停止它们:

使服务失效
Win32/Mosfin.Y会使很多与安全相关的软件的服务失效。如果特洛伊找到这些服务,就会将它们的“启动类型”改为“停止”:

删除注册表键值
Mosfin修改以下注册表键值,这些键值都是与上述服务相关的键值,这样做可以防止在系统启动时自动运行上述服务:

重命名文件
Win32/Mosfin.Y 将%System%目录中的以下文件重命名:
将"verrclsid.exe" 重命名为 "verclsid.bak"
将"KvNative.exe" 重命名为 "KvNative.bak"

特洛伊还会查找与目标文件相关的注册表键值。如果Mosfin找到安装目录的特定文件,就会给这个文件加一个新的扩展名.bak:
HKLM\SOFTWARE\JiangMin\KV2006\Install
如果找到,特洛伊就会将"UpdateX.dll" 重命名为 "UpdateX.bak"

HKLM\SOFTWARE\JiangMin\KVFW\Install
如果找到,特洛伊就会将"KvfwUtl.dll"重命名为"KvfwUtl.bak"

HKLM\SOFTWARE\rising\Rav
如果找到,特洛伊就会将"RsGuiLib.dll"重命名为"RsGuiLib.bak"

HKLM\SOFTWARE\KINGSOFT\ANTIVIRUS
如果找到,特洛伊就会将"KAConfig.DLL"重命名为"KAConfig.bak"

HKLM\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
如果找到,特洛伊就会将"rpt.dll"重命名为"rpt.bak"

HKLM\SOFTWARE\Network Associates\ePolicy Orchestrator\Application Plugins\VIRUSCAN8000
如果找到,特洛伊就会将"shutil.dll"重命名为"shutil.bak"

使安全模式失效
为了防止进入安全模式,特洛伊还会删除以下键值:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

下载并运行其它文件
Win32/Mosfin.Y 尝试从www.xiuhua.net域下载一个文件,将它保存到%Temp%\SVCHOST.EXE ,并运行这个文件。
下载文件与Win32/AdClicker Family病毒有关。

其它信息
特洛伊Win32.Mosfin.Y生成一个互斥体,以确保每次只有一个副本运行。

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址:
http://www.antidu.cn/board/online/

已经中毒的用户,可以去论坛提问求助
http://bbs.antidu.cn

 

Tags:特洛伊病毒 Win32.Mosfin.Y ADSAL.CHM
编辑:杀毒网
关于:Win32.Mosfin 的文章
    杀毒网推荐文章
    杀毒方法文章
    网站地图 - 杀毒论坛 - 网站投稿 - 广告服务 - 帮助中心 - 联系我们
    Copyright ©2007 www.Antidu.cn All Rights Reserved