h24arb 2008-6-4 10:30
警惕蠕虫木马类病毒Worm.Win32.Downloader.nm
[align=center][align=center][b][font=宋体][size=15pt]警惕蠕虫木马类病毒[/size][/font][/b][b][size=15pt]Worm.Win32.Downloader.nm[/size][/b][/align][/align]
Worm.Win32.Downloader.nm[font=宋体]为[/font][font=宋体]蠕虫[/font][font=宋体]木马类,病毒运行获取系统进程,查找进程中是否存在[/font]AVP.exe[font=宋体](卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为[/font]2001[font=宋体]年,目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,遍历[/font]System32[font=宋体]目录查找[/font]\s*st.exe[font=宋体]的文件,找到[/font]svchost.exe[font=宋体]文件后,创建一个进程并调用[/font]ReadProcessMemory[font=宋体]函数读写该进程内存,调用[/font]ZwUnmapViewOfSection[font=宋体]获取当前进程映射的基址,然后调用[/font]WriteProcessMemory[font=宋体]函数对内存地址写入病毒数据,连接网络读取列表下载大量恶意文件并运行[/font][font=宋体],[/font][font=宋体]给用户清除病毒带来极大的不便。[/font]
[b] [/b]
[b][font=宋体]清除方案:[/font][/b][b][/b]
[b] [/b]
[b]1.
[/b][b][font=宋体]使用安天木马防线可彻底清除此病毒[/font][/b][b]([/b][b][font=宋体]推荐[/font][/b][b])[/b][b][font=宋体]。[/font][/b][b][/b]
2.
[font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。[/font]
(1)
[font=宋体]使用[/font]ATOOL“[font=宋体]进程管理[/font]”[font=宋体]关闭病毒相关进程[/font]
[size=9pt] [/size]
(2)
[font=宋体]删除病毒服务注册表项[/font]
[color=black]1.
[/color][color=black][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\[/color]
[color=black]LEGACY_MHFP\0000\Service][/color]
[color=black][font=宋体]键值:[/font][/color][color=black]" Mhfp"[/color]
[color=black][font=宋体]删除[/font][/color][color=black]Mhfp[/color][color=black][font=宋体]键值[/font][/color][color=black][/color]
[color=black]2.
[/color][color=black][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services][/color]
[color=black][font=宋体]键值:[/font][/color][color=black]"Mhfp"[/color]
[color=black][font=宋体]删除[/font][/color][color=black]Mhfp[/color][color=black][font=宋体]键值[/font][/color][color=black][/color]
3.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion]
[color=black][font=宋体]键值:[/font][/color][color=black]"[/color]Image File Execution Options[color=black]"[/color]
[color=black][font=宋体]删除注册表[/font][/color]Image File Execution Options[color=black][font=宋体]键值[/font][/color][color=black][/color]
[color=black] [/color]
[color=black][font=宋体]相关链接参见:[/font][/color][color=black][url=http://www.antiy.com/security/report/20080603.htm][color=#0000ff]http://www.antiy.com/security/report/20080603.htm[/color][/url][/color][b][/b]