Word.Win 32.AutoRun.bqnウイルス解析解決

3048 ワード
AutoRun ウイルス
一、ウイルスに関する分析:        ウイルスラベル:        ウィルス名称:Word.Win 32.AutoRun.bqn          ウイルスタイプ:ワーム        危害レベル:2        感染プラットフォーム:Windows        ウイルスサイズ:21,504(バイト)        SH A 1:01010115 B 9 F 9231018 A 58 A 3 CA 1 B 5 A 27 C 269 F 807 E 6        シェルタイプ:PEComppact V 2.X-> Bitsu Technologies        開発ツール:Microsoft ビジュアル Baic 5.0 / 6.0     ウイルスの挙動:        1、プログラム運転後、コピーをリリースする      %SystemRoot%\EXPL 0 RER.EXEと     %System Root%\atorun.inf     autrun.inf内容:  Quote:[autrun]open=EXPL 0 RER.EXE shell\open=開く(&O)shell\open\Command=EXPL 0 RER.EXE shell\open\Default=1 shell\explore=リソースマネージャ(&X)shell\explore Command=EXRE  フォルダによる名来感染生成 対応する ディレクトリ名.exeの後にフォルダのプロパティを追加します。 読み取り専用、システム、非表示。隠しファイルの効果を表示しないと、本当のフォルダが全部なくなります。ウイルスのアイコンはフォルダです。レジストリを改ざんして、隠しファイル、システムファイル、拡張子を表示しません。レジストリの主な変化:修正値:65  Quote:新しいです HKLM\SOFTWARE\Class\chm.file\shell\open\command\ "C:\WINDOWS\EXPL 0 RER.EXE %1「古い」 HKLM\SOFTWARE\Class\chm.file\shell\open\command\ ""C:\WINDOWS\h.exe" %1「新」 HKLM\SOFTWARE\Class\Directory\shell\ "open「古い HKLM\SOFTWARE\Class\Directory\shell\ "none「新」 HKLM\SOFTWARE\Class\Drive\shell\ "open「古い HKLM\SOFTWARE\Class\Drive\shell\ "none「新」 HKLM\SOFTWARE\Class\regfile\shell\open\command: "C:\WINDOWS\EXPL 0 RER.EXE %1「古い」 HKLM\SOFTWARE\Class\regfile\shell\open\command: "regedit.exe "%1「新」 HKLM\SOFTWARE\Microsoft\Windows\CurrenntVersion\Explorer\Advanced\Hdden\NOHIDDEN\CheckedValue: 0 x 00003古い HKLM\SOFTWARE\Microsoft\Windows\CurrenntVersion\Explorer\Advanced\Hdden\NOHIDDEN\CheckedValue: 0 x 00002新品 HKLM\SOFTWARE\Microsoft\Windows\CurrenntVersion\Explorer\Advancd\Hdden\SHOW\CheckedValue: 0 x 00002古い HKLM\SOFTWARE\Microsoft\Windows\CurrenntVersion\Explorer\Advancd\Hdden\SHOW\CheckedValue: 0 x 00001  二、ソリューションのダウンロード使用 wsyscheck ,開く wsyscheck.exe ,プロセス管理-ウイルスプロセスEXPL 0 RER.EXEを終了し、削除します。1.SREngg修復ファイルの関連   システム修復--ファイル関連--すべて選択--自動修復2.ディスクの開き方、フォルダの開き方Quote:Windows Registry エディター Version 5.00[HKEY_]LOCAL_MACHINE\SOFTWARE\Class\Drive\shell@=「none」[-HKEY_LOCAL_MACHINE\SOFTWARE\Class\Drive\shell\explore)[-HKEY_LOCAL_MACHINE\SOFTWARE\Class\Drive\shell\open)[HKEY_LOCAL_MACHINE\SOFTWARE\Class\Directory\shell@=「none」[-HKEY_LOCAL_MACHINE\SOFTWARE\Class\Directory\shell\explore][-HKEY_LOCAL_MACHINE\SOFTWARE\Class\Directory\shell\open 3.システムファイル、隠しファイル、隠しフォルダQuoteを表示する:Windows Registry エディター Version 5.00[HKEY_]CURRENT_USER\Software\Microsoft\Windows\Currenent Version\Explorer\Addvanced"=Hdden"=dword:00001"HdeFileExt"=dword:0000"ShowSuperHdden"=dword:00001[HKEY_]LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Advanced\Hdden\NOHIDDEN"="Software\\Microsoft\\Windows\Curent Version\Explorer\Advider\Advance\"LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrrentVerssion\Explorr\Addddvancd\Foldr\Hdden\SHOWALL\RegPath"="Software\Microsoft\Windows\CurrrentVerssion\Explorer\Explororer\Addddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddパーティションの下に隠しられているフォルダ、主に削除です システムのプロパティ