autorun.inf和sbl.exe之U盤病毒的清除方法

更新時間：2007年09月28日 20:17:31 作者：

病毒生成如下文件：

Code:
　　C:\WINDOWS\system32\1.inf
　　C:\WINDOWS\system32\chostbl.exe
　　C:\WINDOWS\system32\lovesbl.dll
　　在每個分區(qū)下面創(chuàng)建autorun.inf和sbl.exe,并不斷檢測chostbl.exe的屬性是否為隱藏
　　注冊服務AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,達到開機啟動的目的.

　　啟動類型：自動
　　顯示名稱：A GooD DownLoad    CAHW

　　調用TerminateProcess函數(shù)關閉如下進程

Code:
　　360safe.exe
　　360tray.exe
　　runiep.exe
　　avp.exe

　　調用GetWindowsTextA函數(shù) 獲得當前窗口標題，并調用PostMessageA函數(shù)試圖發(fā)送WM_CLOSE,WM_DESTROY,WM_QUIT指令關閉帶有如下字樣的窗口

Quote:
　　卡卡
　　江民
　　金山
　　任務管理器
　　木馬清道夫
　　木馬克星
　　超級巡警
　　NOD32核心
　　安全
　　安全衛(wèi)士
　　木馬殺客
　　NOD32
　　內核
　　OD
　　微點

　　調用FindWindowA函數(shù)查找如下窗口并試圖調用PostMessageA函數(shù)向其發(fā)送WM_CLOSE指令關閉窗口

Quote:
　　AVP.AlertDialog
　　AVP.Product_Notification
　　AVP.Product_Noti

　　調用cmd.exe 執(zhí)行net stop sharedaccess命令關閉Windows自帶的防火墻服務

　　C:\WINDOWS\system32\lovesbl.dll插入svchost.exe進程
　　利用svchost.exe執(zhí)行下載木馬操作
　　
Code:
下載http://218.61.18.*/hao.exe
　　http://218.61.18.*/wei.exe
　　http://218.61.18.*/haowei.exe

　?。╥p地址為遼寧大連網(wǎng)通）

　　到C:\Documents and Settings下面并分別命名為servciesa.exe~servciesc.exe，下載間隔200ms
　　

　　測試中http://218.61.18.*/haowei.exe（servciesc.exe）鏈接已失效

　　servciesa.exe為一感染下載者
　　下載http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe，但下載鏈接已失效

　　感染除以下文件夾下的exe文件
　　
Quote:
WINDOWS
　　WINNT
　　RECYCLE
　　System Volume Information
　　Internet Explorer
　　Outlook Express
　　NetMeeting
　　Common Files
　　Messenger
　　Windows Media Player
　　WinRAR
　　MSOCache
　　Documents and Settings

　　被感染文件被加入593字節(jié)的內容圖表不變感染方式還得請高手來指教...

　　servciesb.exe
　　注冊服務WindowsRemote
　　啟動類型：自動
　　顯示名稱：Windows Accounts Driver
　　也是一個木馬下載者但下載鏈接失效

　　病毒全部動作完畢以后，sreng日志如下：
　　服務

Code:
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
　　

手動解決方法：

　　下載sreng 打開解壓后運行srengps.exe

　　“啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經(jīng)認證的微軟項目”，
選中以下項目，點“刪除服務”，再點“設置”，在彈出的框中點“否”：

Code:
A GooD DownLoad    CAHW    / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

　　重啟計算機

　　雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護的操作系統(tǒng)文件（推薦）"前面的鉤。在提示

　　確定更改時，單擊“是” 然后確定
　　點擊    菜單欄下方的文件夾按鈕（搜索右邊的按鈕)