病毒具体分析如下:
Quote:
File:bsmain.exe
Size:131072bytes
FileVersion:20.00
Modified:2008年3月7日,22:18:04
MD5:1EFE96D8D20513351DB5C1681D7BBAFE
SHA1:3447D88F4789A1F969F7E0A2501CE16B629DC63D
1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:ProgramFilesRisingRavupdatesetup.exe,如果找不到则在注册表中查找SOFTWARErisingRav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下UpdateSetup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。
2.释放如下文件或者副本:
C:Windowssystem32bsmain.exe(病毒文件)
不断的遍历A-Z盘查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。
3.在注册表中添加如下启动项目
Quote:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的
[BeijingRisingTechnologyCo.,Ltd.]
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon下的
[BeijingRisingTechnologyCo.,Ltd.]
以此达到开机启动自身的目的
4.添加映像劫持项目劫持如下常见杀毒软件
Quote:
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
AST.exe
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
ccSvcHst.exe
ceSword.exe
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
Ras.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
runiep.exe
safelive.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
UpLive.exe
USBCleaner.exe
vsstat.exe
webscanx.exe
WoptiClean.exe
劫持到C:Windowssystem32bsmain.exe
5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...
6.修改txt文件关联指向C:Windowssystem32bsmain.exe
解决办法:
下载sreng:
1.打开sreng,启动项目注册表删除如下项目
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的
[BeijingRisingTechnologyCo.,Ltd.]
把HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon下的
shell值改为explorer.exe
并删除所有红色的IFEO项目
系统修复-文件关联点击修复
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是”然后确定
删除C:WINDOWSsystem32bsmain.exe
3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧...