u盘蠕虫worm.win32.autorun.eyo

《u盘蠕虫worm.win32.autorun.eyo》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、U盘蠕虫Worm.Win32.Autorun.eyo～教育资源库　　该样本是使用Delphi编写的蠕虫程序，由微点主动防御软件自动捕获，采用FSG加壳方式试图躲避特征码扫描,加壳后长度为40,018字节，图标为，使用exe的扩展名，通过网页木马、文件感染、移动存储介质等方式进行传播，植入目标计算机后下载其他木马程序到本地执行。　　病毒分析　　该样本程序被执行后，在%SystemRoot%system32drivers目录下释放驱动文件beep.sys，把%SystemRoot%system32目录设置为系统隐藏；将驱动文件beep.sys注册成名为RESSDT的服务并启动，恢复SSDT使部分安

2、全软件监控失效。　　Quote:　　项：HKLMSYSTEMCurrentControlSetServicesRESSDT　　键值：DisplayName　　指向数据：RESSDT　　项：HKLMSYSTEMCurrentControlSetServicesRESSDT　　键值：ImagePath　　指向文件：??C:SYSTEMControlSet001ServicesRESSDT　　键值：Start　　指向数据：03　　拷贝自身到%SystemRoot%system32目录下重新命名为uqxlnros.exe和bxymovdi.exe，并为其设置系统和隐藏属性，使用函数Soft32uqxl

3、nros.exe　　项：　　HKLMSoftovdi.exe　　指向数据：C:onitor.exe　　avp.　　avp.exe　　CCenter.exe　　ccSvcHst.exe　　Discovery.exe　　EGHOST.EXE　　IceSFiles%的环境变量获得Root%system32driversetc目录下的hosts文件删除，达到突破常规网页免疫的目的，感染磁盘中文件扩展名为htm、html、asp、aspx、php、jsp、exe、、pif、scr、bat等的文件，遍历磁盘寻找Doctor安装路径，找到后通过替换文件TF000001.tsd和TM000001.TSD禁用医

4、生。　　修改如下注册表键值使被隐藏病毒文件使其不能被显示出来：12下一页友情提醒：，特别！Quote:　　项：HKCUSOFTICROSOFTp;O)　　shellopenmand=bxymovdi.exe　　shellopenDefault=1　　shellexplore=资源管理器(X)　　shellexploremand=bxymovdi.exe　　使用sc->计算机配置->管理模板->系统->在右侧找到关闭自动播放->双击->选择已启用。　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与

5、专业的安全软件厂商联系获取技术支持。　　4、开启windows自动更新，及时打好漏洞补丁。上一页12友情提醒：，特别！