Worm.Win32.AutoRun.bqn病毒分析解决
Worm.Win32.AutoRun.bqn病毒分析解决
发布时间:2016-12-26 来源:查字典编辑
摘要:一、病毒相关分析:病毒标签:病毒名称:Worm.Win32.AutoRun.bqn病毒类型:蠕虫危害级别:2感染平台:Windows病毒大小...

一、病毒相关分析:

病毒标签:

病毒名称:Worm.Win32.AutoRun.bqn

病毒类型:蠕虫

危害级别:2

感染平台:Windows

病毒大小:21,504(字节)

SHA1:01015B9F9231018A58A3CA1B5B6A27C269F807E6

加壳类型:PECompactV2.X->BitsumTechnologies

开发工具:MicrosoftVisualBasic5.0/6.0

病毒行为:

1、程序运行后,释放副本

%SystemRoot%EXPL0RER.EXE

%SystemRoot%autorun.inf

autorun.inf内容:

Quote:

[autorun]

open=EXPL0RER.EXE

shellopen=打开(&O)

shellopenCommand=EXPL0RER.EXE

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=EXPL0RER.EXE

根据文件夹名来感染生成对应的目录名.exe

然后添加文件夹属性为只读,系统,隐藏。不显示隐藏文件的效果是真实的文件夹全没了。

你看到的文件夹图标的都是病毒,因为病毒的图标是文件夹。

篡改注册表,不显示隐藏文件、系统文件和扩展名。

注册表主要变化:

修改值:65

Quote:

新HKLMSOFTWAREClasseschm.fileshellopencommand:"C:WINDOWSEXPL0RER.EXE%1"

旧HKLMSOFTWAREClasseschm.fileshellopencommand:""C:WINDOWShh.exe"%1"

新HKLMSOFTWAREClassesDirectoryshell:"open"

旧HKLMSOFTWAREClassesDirectoryshell:"none"

新HKLMSOFTWAREClassesDriveshell:"open"

旧HKLMSOFTWAREClassesDriveshell:"none"

新HKLMSOFTWAREClassesregfileshellopencommand:"C:WINDOWSEXPL0RER.EXE%1"

旧HKLMSOFTWAREClassesregfileshellopencommand:"regedit.exe"%1""

新HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue:0x00000003

旧HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue:0x00000002

新HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue:0x00000002

旧HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue:0x00000001

二、解决方案

下载使用wsyscheck,打开wsyscheck.exe,进程管理--结束病毒进程EXPL0RER.EXE并删除。

1.SREng修复文件关联系统修复--文件关联--全选--自动修复

2.修复磁盘打开方式、文件夹打开方式

Quote:

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESOFTWAREClassesDriveshell]

@="none"

[-HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellexplore]

[-HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellopen]

[HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshell]

@="none"

[-HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellexplore]

[-HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellopen]

3.显示系统文件、隐藏文件、显示隐藏文件夹

Quote:

WindowsRegistryEditorVersion5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"Hidden"=dword:00000001

"HideFileExt"=dword:00000000

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

杀毒软件全盘扫描

使用第三方工具去掉各分区下被隐藏的文件夹,主要是去掉系统属性

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类