超级巡警团队监测到恶意程序Worm.Win32.AutoRun.bdi给很多造成不便。它会伪装为ATI显示卡增强工具ati2evxx.exe和系统文件ntldr。如果不彻底清除主要的恶意程序,会造成很多恶意程序在被清理后还会出现的问题。超级巡警团队提醒以下用户使用超级巡警进行全面扫描:发现在没有安装ATI显卡的系统中存在进程ati2evxx.exe;或者安装了ATI显卡,但是有多个ati2evxx.exe进程。
病毒名称:Worm.Win32.AutoRun.bdi
SHA1 :e02fb8733b9fd33df53e8851c925de6d468d6c4e
加壳类型:Upack
开发工具:Borland Delphi
病毒行为:
1、程序运行后将自身复制为%Windir%\Fonts\System\ati2evxx.exe并运行,然后删除原文件
释放autorun.inf和ntldr.exe到各盘根目录 //ntldr.exe与ati2evxx.exe为同一文件
生成文件:%Windir%\Fonts\System\KB930.vxd
2、修改注册表,添加映像劫持指向文件%Windir%\Fonts\System\ati2evxx.exe
如下图:
并添加到启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TBMonEx"="%Windir%\\Fonts\\system\\ati2evxx.exe"
3、查询并连接以下域名:
a.8q8.biz,a.9gg.biz,m.8q8.biz,ip.37586.com,ip.35561.com,ip2.37586.com,upip.37586.com
a.935425.com,c.935425.com,e.935425.com,f.935425.com,g.935425.com,m.935425.com,qq.935425.com
4、下载以下文件,如图:
解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
您的位置: