当前位置:首页 >> 电脑使用指南 >> 应用软件使用心得 >> 杀毒软件 >>

bigdog.exe,autorun.inf,“道”字U盘病毒分析解决

来源:发掘网 作者:清新阳光 编辑:帝国战猪 日期:01-07 点击次数:

病毒  bigdog.exe

这是一个随U盘传播的病毒,仅仅起到了一定的破坏作用,应该是作者的一个病毒雏形。

File: bigdog.exe
Size: 458723 bytes
Modified: 2007年12月29日, 22:57:26
MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
CRC32: 0375B832
加壳方式:UPX
编写语言:易语言

1.病毒运行后,衍生如下副本:
%systemroot%\system32\bigdog.exe
在C盘到K盘下生成autorun.inf和bigdog.exe

如果查到C盘到K盘下有autorun.inf免疫,则使用cmd /c  rmdir *:\autorun.inf /s /q(*代表盘符)命令删除该文件(夹)

2.注册启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe: "%systemroot%\system32\bigdog.exe"

3.修改系统时间为2000年1月29日 00:00

4.破坏安全模式
删除如下键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.添加映像劫持项目劫持杀毒软件与一些常用的Windows组件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger: "%systemroot%\system32\bigdog.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\debugger: "%systemroot%\system32\bigdog.exe"
共2页  第1页 第2页

 

上一篇:
下一篇:

本站推荐文章
相关文章
  • 巧用“记事本” 让病毒白白运行
  • 给USB设备写保护 防误删或病毒感染
  • 安全知识问答:为什么病毒清除不了
  • 用Cisco交换机解决网络蠕虫病毒入侵
  • 病毒命名规则大检阅 教你如何识别电脑病毒
  • 系统重装防再遭病毒侵袭 五项建议保你安全
    • 论坛软件板块新帖

    杭州蓝图资讯工作室 版权所有 ©2006~2008
    浙ICP备05037491号