病毒实验三.docVIP

病毒分析 -疯狂自由女孩（Lhsurdj.exe） 【背景资料】 病毒名称：Worm.Win32.AutoRun.elc 病毒别名：疯狂自由女孩病毒 病毒文件信息 File： lhsurdj.exe MD5： 4F7D28EB58510D05149FE566972BDD51 SHA1： 85BCF33080A21751BAA499844A2986 CRC32：4D7CD431 壳： FSG2.0→bart/xt[Overlay] 影响系统：WIN9X/ME/NT/2000/XP/2003 病毒类型：蠕虫病毒 病毒大小：39125 Bytes 传播方式：需人工下载其服务端 【特征】 执行后自动删除病毒文件本身。 窗口标题有“病毒”字样的会自动关闭，例如建立一个名称为“病毒xxx”的文件夹，双击后会将整个窗口关闭；带“病毒”字样的Word文件也会关闭。 “工具”→“文件夹选项”→“查看”页 中“显示所有文件”无法设置，即缺少“显示所有文件和文件夹”的单选项（后果是隐含文件看不到）。 对注册表编辑器 及 大多数杀毒软件 进行映像劫持。 无法结束病毒进程，属于流氓软件。 该文件的图标伪装成JPG格式的样式。 蠕虫家族出现AutoRun变种以来，就一直带给我们很大的麻烦。其家族新变种“疯狂自由女孩”病毒又给其家族带来了很大的助力。使其势力进一步扩张，计算机在被“疯狂自由女孩”病毒感染后会在系统目录下生成大量的病毒文件，并且与家族同类变种一样会生成autorun.inf文件使其重复感染。 病毒行为 释放的文件 C:\windows\system32\lhsurdj.exe C:\windows\system32\eohuylj.exe C:\windows\system32\eohuylj.inf C:\windows\system32\musz1s.dll C:\windows\system32\musz2s.dll C:\windows\system32\uuygec.dll C:\windows\system32\uuygec.nls 各个盘的根目录下会自动产生lhsurdj.exe和autorun.inf 其中uuygec.dll 和uuygec.nls还修改了创建时间来隐藏自己。所有病毒文件都需清除干净。只要有一个未被删除，重启后仍会生成并加载之前那些病毒文件。 注册表部分： 添加了以上文件生成的项及启动记载项；破坏“显示隐藏文件”的功能： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 下的ShowSuperHidden 改为0对大多数的杀毒软件及冰刃等查看进程或文件的软件进行了映像劫持。 进程中的lhsurdj.exe与eohuylj.exe是互斥体，也起着进程守护的作用。 连接网络时，会到指定网站下载其它木马病毒。 【分析】 进程分析，启用“Windows任务管理器”（红圈中的两个进程） 启用ProceXP.exe工具软件，也可以看到Eohuylj.exe 和Lhsurdj.exe （红色底纹） 可以看出来它们的“描述”和“公司名”处是空白 试图禁止该进程，但会发现无效，删除掉以后，还会自动产生（用“任务管理器”也不行）。流氓软件的特征。 启用注册表查看程序“Autoruns.exe” 正常进程可通过“选项”进行 “验证代码签名” 注意“映像劫持”页，可以看到病毒已经加载了一大串的程序名，并做了启动屏蔽 “全部”页（有防毒软件的话，可以抵挡） 【清除方法】 1． 使用“Wsyscheck”工具（如果被映像劫持，则先将它改名，就可以启动） “进程管理”页中可以看到这两个病毒进程，并记录映像路径，这是病毒文件的存储路径，可以追踪到它们在磁盘中的存储位置。 选择“结束选择的进程”或“挂起选择的进程”（关键的一步） 2．点击“文件管理”页，查看磁盘根目录和这些路径 可以按“创建时间”排序，进一步发现、分析相关的可疑文件，例如每个盘符的根目录中的autorun.inf以及相关可疑文件（例如：lhsurdj.exe文件） 文件C:\autorun.inf 以及C:\WINDOWS\system32\enhuylj.inf 的内容是 [AutoRun] shell\open=打开(O) shell\open\Command=lhsurdj.exe shell\open\Default=1 shell\explore=资源管理器(X) shell\explore\Command=lhsurdj.exe musz1s.dll、musz2s.dll 也是它释放出来的文件 最难找的