首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> U盘病毒 >> 阅读资讯:U盘病毒sina.exe、Discovery.exe分析查杀

U盘病毒sina.exe、Discovery.exe分析查杀

[ 作者:papa | 更新日期:2008-2-17 22:04:54 | 阅读次数: ]

Sina.exe仿新浪之名劫持杀软

本周一个U盘病毒及变种在互联网上流窜,该病毒会以sina.exe、Discovery.exe劫持大量杀毒相关以及系统程序。
常见检测工具sreng改名后运行会提示如下错误信息:


按照提示修正后会长时间扫描并最终无响应,如图所示:


病毒的简单分析:
加载启动项:
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\google]
<StubPath><C:\WINDOWS\system32\sina.exe>
或者
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\google]
<StubPath><C:\WINDOWS\system32\Discovery.exe>(另一变种)

写入映像劫持到C:\WINDOWS\system32\sina.exe或者C:\WINDOWS\system32\Discovery.exe

创建2svchost.exe隐藏进程监视并重写映像劫持注册表项目,导致映像劫持修复工具修复后劫持依然存在。
此次劫持的文件列表见下,如syscheck等三方工具逐渐被病毒作者纳入庞大的劫持列表。
劫持程序列表.txt (5.88 KB)

在各个盘符下释放sina.exe或者Discovery.exe以及autorun.inf
后台下载病毒程序并保存为sina(1).exe、sina(2).exe、Discovery(3).exe、Discovery(4).exe等:
http://www.haoliuliang.cn/m/1.exe
http://www.haoliuliang.cn/m/2.exe
http://www.haoliuliang.cn/m/3.exe
http://www.haoliuliang.cn/m/4.exe
http://www.haoliuliang.cn/m/5.exe
http://www.haoliuliang.cn/m/6.exe
http://www.haoliuliang.cn/m/7.exe
http://www.haoliuliang.cn/m/8.exe
http://www.haoliuliang.cn/m/9.exe
http://www.haoliuliang.cn/m/10.exe
http://www.haoliuliang.cn/m/11.exe
http://www.haoliuliang.cn/m/12.exe
http://www.haoliuliang.cn/m/13.exe
http://www.haoliuliang.cn/m/14.exe
http://www.haoliuliang.cn/m/15.exe
http://www.haoliuliang.cn/m/16.exe
http://www.haoliuliang.cn/m/17.exe
http://www.haoliuliang.cn/m/18.exe
http://www.haoliuliang.cn/m/19.exe
http://www.haoliuliang.cn/m/20.exe

处理方法:
高级用户看完上述简单分析后便应该就已经知道如何处理了。初级用户下载解压附件中的清理脚本,首先运行Del_sina1.bat之后重启系统,重启后运行Del_sina2.bat即可。

附件
Del_sina.rar (766 Bytes)

www.newjian.com


Tags:U盘病毒 sina.exe Discovery.exe
来源:
上一篇:隐藏文件处理器 v0.0.0.2版  下一篇:Worm.DiskGen病毒漏洞分析
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐