本周發現一些修改替換
系統文件病毒的新動向,尤其以開機後不久
殺毒軟件變無法運行和被清除的現象引起我們的注意。
現象一:殺毒軟件被病毒執行清除操作。運行sreng或者殺毒軟件安裝文件後文件被瞬間清零並提示不是有效win32程序。如圖所示:
此類病毒處理思路參考:
http://bbs.duba.net/thread-21873026-1-1.html
現象二:開機後不久殺毒軟件便無法執行殺毒操作,掃瞄映像劫持無可疑項目。使用AV終結者專殺可以掃瞄到映像劫持修復後重啟依然可以掃瞄到劫持。
原因:病毒修改替換了userinit.exe和conime.exe。在計算機啟動時通過調用rundll32.exe加載相關病毒dll文件寫入映像劫持。
(注意:該病毒寫入映像劫持debugger的數據是ntsd -d,這樣就使得目前主流的檢測工具sreng、autoruns等檢測不到劫持異常。)如圖所示:
一些病毒為了防止用戶使用劫持修復工具修復對殺毒軟件的劫持,便將劫持殺軟的註冊表項限制了當前登錄帳戶的訪問權限,使其無法修復。
如圖所示手工刪除時的提示:
處理方法:替換病毒修改的系統文件,將相關的註冊表項目添加上可以進行操作的權限。
注意:毒霸用戶可以使用附件中的映像劫持清除腳本進行修復,該腳本會考慮訪問權限的問題並清除毒霸相關的劫持項目。
非毒霸用戶涉及權限問題導致的無法修復,建議咨詢對計算機比較瞭解的人士手動修改。
目前接到反饋發現該病毒會導致用戶部分程序漢字字體無法正常顯示。簡單舉個例子,在記事本中輸入漢字:"毒霸",複製粘貼到UE中會顯示為亂碼。
現象三:清理專家反覆提示異常的userinit註冊項,但是無法清除。如圖所示:
問題原因:該病毒通過兩個run鍵值加載,並且修改了userinit鍵值。如圖所示:
為了保證系統的正常啟動,病毒同樣會加載可以保證系統啟動的userinit.exe文件。(這個文件通常已經不是原始版本)
毒霸掃瞄該病毒主文件報為Win32.TrojDownloader.Small.151552 是一個感染型病毒。
處理意見:建議升級毒霸到最新後,將正常的系統文件以及修復userinit註冊項目的批處理腳本複製到同一英文目錄下。
在命令行安全模式下調用毒霸文件夾下的kavdx全面殺毒。殺毒結束後通過dos命令導入修復userint鍵值的註冊表腳本修復。
(注意:該操作方法對於大多數用戶來說是非常困難的,掛從盤掃瞄處理病毒後使用winpe修復註冊項,是處理該病毒相對容易的方法。)
