新客网WWW.XKER.COM:致力做中国最专业的网络学院!
学院: 操作系统 - 网络应用 - 服务器 - 网络安全 - 工具软件 - 办公软件 - Web开发 - 数据库 - 网页设计 - 图形图像 - 媒体动画 - 硬件学堂 - 存储频道 - QQ专区
您的位置:首页 > 网络学院 > 网络安全 > 杀毒技术 > 正文:U盘病毒MS-DOS.com替换系统文件修改注册表

U盘病毒MS-DOS.com替换系统文件修改注册表

新客网 XKER.COM 2008-06-06 来源:毒霸社区 收藏本文

  本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。

  由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:

  

U盘病毒MS-DOS.com替换系统文件修改注册表
病毒写入启动项

 

  该病毒写入如下启动项:

  HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup] [Local Group Policy][c:\windows\cursors\boom.vbs] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [][C:\WINDOWS\system\KEYBOARD.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [sys][C:\WINDOWS\Fonts\Fonts.exe] [HKEY_CURRENT_USER\Control Panel\Desktop] [SCRNSAVE.EXE][C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com]

  修改REG文件关联到: %systemroot%\pchealth\Global.exe

  利用劫持阻止以下程序运行:

  

U盘病毒MS-DOS.com替换系统文件修改注册表
利用劫持阻止程序运行

 

  释放主要文件如下:

  %systemroot%\cursors\boom.vbs %systemroot%\system\keyboard.exe %systemroot%\system32\dllcache\default.exe %systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe %systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif %systemroot%\pchealth\helpctr\binaries\helphost.com %systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe %systemroot%\system32\dllcache\autorun.inf %systemroot%\system32\dllcache\system.exe %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\dllcache\Global.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe

  各个盘符下的autorun.inf以及MS-DOS.com

  使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:

  

U盘病毒MS-DOS.com替换系统文件修改注册表
病毒在windows目录下的exe文件列表

 

  由于病毒通过多种方式启动自身、手动处理步骤对于一般用户来说较为复杂。该病毒通过金山毒霸2008的病毒库升级可以处理。

标签:U盘   病毒   MS-DOS.com   注册表   MS-DOS   DOS  
上一篇:亲身体验Flash Player漏洞导致系统中木马
下一篇:orz.exe病毒文件简单见解
收藏】 【评论】 【推荐】 【投稿】 【打印】 【关闭
发表评论
要记得去论坛讨论,点击注册新会员匿名评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
推荐阅读
阅读排行
专题教程
随机推荐
实用信息推荐