样本文件名:MS-DOS.com
大小:220 KB (225,280 字节)
校验码:
MD5: a7bb6a24ad4ef53dc6f57d7fe5a9293f
SHA1: 98ec003cbe71cb1fdff87e72e04760bfde954b59
CRC32: 8b782321
autorun.inf 文件信息:
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
测试环境:Windows XP Professional
触发进程:(进程守护结构:GLOBAL.EXE ---- SVCHOST.EXE ---- SYSTEM.EXE)
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\GLOBAL.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\SYSTEM.EXE
卡巴斯基扫描结果:Worm.Win32.AutoRun.dcw
ArSwp 扫描结果:
Worm.global.rndll32
C:\WINDOWS\CURSORS\BOOM.VBS
C:\WINDOWS\FONTS\FONTS.EXE
C:\WINDOWS\FONTS\TSKMGR.EXE
C:\WINDOWS\HELP\MICROSOFT.HLP
C:\WINDOWS\MEDIA\RNDLL32.PIF
C:\WINDOWS\PCHEALTH\GLOBAL.EXE
C:\WINDOWS\PCHEALTH\HELPCTR\BINARIES\HELPHOST.COM
C:\WINDOWS\SYSTEM\KEYBOARD.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\AUTORUN.INF
C:\WINDOWS\SYSTEM32\DLLCACHE\DEFAULT.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\GLOBAL.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\GLOBAL.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}\SYSTEM.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DRIVERS.CAB.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AUTO.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AUTORUN.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\BOOT.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSCONFIG.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN,SYS
任务管理器 TaskMgr.exe 被劫持
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\TASKMGR.EXE
Wormdown.Brontok.ber
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MSCONFIG.EXE,DEBUGGER
Trojan.avkiller.b
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AUTORUNS.EXE,DEBUGGER
hijack.mmc
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\PROCEXP.EXE,DEBUGGER
Trojan.meex.avt
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\AUTORUNS.EXE
Adware.Bizmd
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\CTFMON.EXE
木马类程序
C:\AUTORUN.INF
C:\MS-DOS.COM
C:\WINDOWS\SYSTEM32\REGEDIT.EXE
特征:
1. 除了以 autorun.inf 触发自动播放(复制文件至各个驱动器根目录)之外,将U盘下所有文件夹属性修改为“系统、隐藏”,并创建同名可执行文件,图标与文件夹相同,大小与样本文件相同,若未显示文件扩展名则容易误认为是文件夹,执行后释放文件。
2. 感染或添加相应文件并启动进程.
3. 隐藏文件以及可执行文件的扩展名。
4. 启用映像劫持,导致诸多程序无法正常运行。
5. 修改组策略,禁止 explorer.exe 调用一系列常见程序。
清理建议:
1. 用最新版 Windows 清理助手 ArSwp 清理两次(第一次清理源文件,第二次修复系统)。
2. 复制未被感染的 regedit.exe 至 C:\WINDOWS\SYSTEM32\ 下,并修复相应的文件关联。
3. 恢复 C:\WINDOWS\SYSTEM32\DLLCACHE\ 下的系统备份文件。
4. 恢复U盘中文件夹属性:开始——运行——cmd 进入命令行界面,
x: (转到U盘所在盘符)
attrib -s -h -r /s /d
5. 部分用户可能无法显示隐藏文件,可通过修复相应注册表键值恢复。
防治建议:
1. 关闭自动播放功能。
2. 显示系统隐藏文件及文件扩展名。
3. 使用质量过关的杀毒软件。
4. 以低权限帐号从事日常工作(微软官方推荐的安全方案)。
或者:
抛弃微软的垃圾,投入 Linux 的怀抱吧!
参考资料:
手工清除ms-dos.com病毒的方法 作者:南山 胡氏宗亲网(http://www.hszqw.com.cn)
http://www.hszqw.com.cn/bbs/read.php?tid=7358
U盘病毒MS-DOS.com替换系统文件修改注册表
http://tech.sina.com.cn/s/s/2008-06-06/08162241995.shtml
附:
WIndows 清理助手 ArSwp 下载地址:
官方网站:http://www.arswp.com
精弘下载(旧版):http://down.zjut.com/showdown.asp?soft_id=2227
精弘论坛附件(上传当天最新版):http://bbs.zjut.com/viewthread.php?tid=1062118&page=1#pid4203896
