下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2146|回复: 3
打印 上一主题 下一主题

杀软克星Win32.Troj.Autorun.mv.141312分析

[复制链接]
头像被屏蔽

该用户从未签到

跳转到指定楼层
1
发表于 2007-9-28 18:12:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

杀软克星Win32.Troj.Autorun.mv.141312分析

病毒全名 Win32.Troj.Autorun.mv.141312

病毒长度 26462

威胁级别 ★★
     

中文名称 杀软克星
     

病毒别名
     

病毒类型 木马
     

病毒简介
     

这是一个木马病毒。该病毒运行后,通过映像劫持的手段,会使著名杀软都无法打开使用。浏览不了与安全或"病毒"相关的网页。使用户无法通过正常的杀毒方式解决该问题。
     

关键字:映像劫持,自删除,无法使用杀软,安全网页被屏蔽
     

病毒行为:
     

1.病毒运行后,产生以下病毒文件

%Program Files%\meex.exe

%Program Files%\Common Files\Microsoft Shared\amartpg.inf

%Program Files%\Common Files\Microsoft Shared\havnepc.exe

%Program Files%\Common Files\System\bhekrgm.exe

2.病毒运行成功后,会自行删除病毒源文件。
     

3.在注册表中,病毒自行添加键值
     

HKCU\Software\ajjood

HKCU\Software\lbdwwd

HKLM\software\microsoft\windows NT\CurrentVersion\Image File Execution(映像劫持)

4.该病毒运行后,著名杀软不可使用(无法打开),如毒霸、卡巴斯基等。
     

5.启动项被病毒纂改
     

启动项名:bhekrgm    对应路径:%Program Files%\Common Files\System\bhekrgm.exe

启动项名:havnepc    对应路径:%Program Files%\Common Files\Microsoft Shared\havnepc.exe

6.打开浏览器,如果有关于安全或者"病毒"字眼的网站全部被自行关闭。
     

MS最近中这个病毒的人都是装卡巴的用户呢~~~卡巴最大的缺点是对自身防御不足(笑…………)由于名声太大,枪打出头鸟嘛,也不安全哦。。。。。

 

 

 

 

# [1 f0 I; [6 {2 c* V3 r1 b& O2 M B; S
[此贴子已经被作者于2007-9-29 11:45:06编辑过]
# t$ b& ?7 [$ P' j( U
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩 转发到微博

该用户从未签到

2
发表于 2007-9-28 18:14:00 | 只看该作者

树大招风阿~

幸好我不用卡巴~ 偷着乐了~

回复 支持 反对

使用道具 举报

该用户从未签到

3
发表于 2007-9-29 00:18:00 | 只看该作者
我就在用,应该没什么事
回复 支持 反对

使用道具 举报

该用户从未签到

4
发表于 2007-9-29 18:08:00 | 只看该作者
聪明!%Program Files%\Common Files\System\这个目录确实比较薄弱,很多主动防御都没监视到,不过autorun的传播方式在HIPS下面威力还是有限的。
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表