最近遇到了jwgkvsq.vmx病毒,需要对其进行手工查杀,顺便研究了一下.
如何感染的?
有两种途径:
优盘
感染的优盘根目录会有autorun.inf文件,当优盘插入电脑或者用户双击时,该病毒便会被调用,电脑感染.注意,病毒对此autorun.inf文件进行了混淆,其本质上为ini配置文件.
网络传播(蠕虫病毒)
当主机处于局域网环境中,该病毒会利用MS08-067漏洞主动攻击.
感染后有哪些表现
1.在U盘根目录下生成antorun.inf,还生成一个文件夹RECYCLER,主病毒文件在RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665,名字固定为:jwgkvsq.vmx。
2.所生成的文件都可以很容易的手动删除(如果文件所在的盘是NTFS格式的,就要先修改权限才能删除),但删除后重新插入U盘,又会重新生成上述病毒文件。
3.该病毒会修改注册表去掉系统的显示隐藏功能,以致在“文件夹选项”中选择“显示所有文件”也不起作用。
4.该病毒阻止网络连接到微软网站和瑞星等杀毒软件网站。
5.该病毒会自动搜索内网中具有同样系统漏洞的计算机并试图感染,在一定程度上造成网络堵塞。
病毒行为分析
1.随机生成一个自动运行的“服务”,外面显示的“名称”和双击该服务后显示的“服务名称”可能不同,且两个名称通常都不会有完整的英文意思。“描述”可能是中文或英文,有一定的迷惑性。执行路径为:“C:\WINDOWS\system32\svchost.exe -k netsvcs”。
2.该病毒对注册表的修改,主要是为了生成服务用的,有三个地方:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\“服务名称”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\“服务名称”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\“服务名称”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost中的netsvcs值有“服务名称”。
HK_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\“服务名称”
3.在system32下生成一个具有“ARSH”属性的隐藏dll文件,并设置自身权限禁止被删除。该文件名称是随机的。
4.开机后,服务调用该dll文件,插入到svchost文件中。注意,该病毒使用了hook技术,一方面其会更改hook 系统dns,使得无法连接部分网站.另一方面,其会检测优盘插入从而进行感染,同时其会扫描局域网,感染局域网其它主机.
查杀
本文使用pchunter 进行手工查杀.
杀掉病毒进程
打开pchunter,查看服务启用项,重点关注蓝颜色部分,根据其服务为*.dll确定病毒启动项.定位到病毒dll文件,查看文件锁定情况,根据文件锁定情况确定病毒当前进程进程(为svchost进程,里面包含非常多服务项),杀掉该进程.
清除病毒文件
使用pchunter删除刚才的dll文件
清除病毒启用项
使用pchunter删除刚才的服务启动项.
清楚感染的优盘和移动硬盘等
使用pchunter删除所有优盘和移动硬盘根目录下的autorun.inf文件和RECYCLER目录.
重启
重启进行测试.
如何防患于未然
关闭系统自动播放功能
不要双击盘符,可以使用右键打开.
终极方法为不再使用windows系统,可以使用ubuntu等linux操作系统.
参考
参考deathmemory ,该文非常详细,并附有代码.
参考刘永康BJ
参考开源中国 ,用于关闭自动播放功能.