W32.Rontokbro@mm Kangen(康恩)蠕虫病毒详细介绍及手工杀毒方法 |
| |
| 发布时间:2007-7-7 |
Kangen病毒(W32.Rontokbro@mm ,Empty.pif)最近可谓是春风得意,它在校园内通过U盘MP3等移动存储设备疯狂传播,目前各大杀毒软件都还不能直接剿灭它。不过不要怕,在你决定格盘重装系统之前还是先看一下这篇文章。
基本介绍:
病毒名称:Worm@W32.Rontokbro
病毒别名:W32.Rontokbro.B@mm[symantec]
病毒型态:Worm , E-Mail
病毒发现日期:2005/10/04
影响平台:Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估:
散播程度:高
破坏程度:中
通过E-mail发送格式:
Worm@W32.Rontokbro信件格式:
发信者: < 随机 >
主题:空白
正文:
BRONTOK.A[10] [ By: H[REMOVED]nity ]
-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
病毒详细档案:Kangen.exe
Worm@W32.Rontokbro.2 运行行为描述:
注:
%Windir%代表系统所在目录:
在Win95/98/me系统默认值为 C:\windows
在WinNT系统默认值为 C:\WinNT
在XP/2003系统默认值为 C:\Windows
%System%代表系统目录:
在Win95/98/me默认值为 C:\windows\System
在WinNT/2000/XP/2003系统默认值为 C:\WinNT\System32
在XP/2003 %System% 系统默认值为 C:\Windows\System32
%UserProfile%代表用户私人目录:
在WinNT/2000/XP/2003系统默认值为 C:\Documents and Settings\此处为你的用户名\Templates\
病毒运行后,会进行如下动作:
一、病毒会加入一个Windows工作日程,并且每日下午5:08 执行下列档案:
%UserProfile%\Templates\A.kotnorB.com
当病毒发现窗口标题含有下列字符串后就会重新启动计算机:
@. .ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN……
病毒会自动搜索下列扩展名的档案,从中取得电子邮件地址:
ASP CFM CSV DOC EML HTML PHP TXT WAB
并透过自己的SMTP大量发送病毒邮件。
二、病毒会将自身复制到%Windir%目录,病毒文件为:eksplorasi.exe
三、病毒还会将自身复制到%System%目录,病毒文件为:计算机用户名’s Setting.scr
四、然后它会在%UserProfile%\Local Settings\Application Data\ 目录生成如下6个病毒文件:
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
五、在 %UserProfile%\「开始」菜单\程序\启动\ 目录生成文件:Empty.pif
六、在 %UserProfile%\Templates\ 目录生成病毒文件:Brengkolang.com
七、在 %Windir%\ShellNew\ 目录生成病毒文件:sempalong.exe
八、修改如下几个注册表自启动项,使得开机时病毒文件会自动运行:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
[HKEY_USERS\S-1-5-21-448539723-1409082233-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
杀毒方法
方法一
重新启动计算机,按F8进入系统菜单,选择进入“带命令行的安全模式”(网上有人说只要进安全模式即可,但我测试时发现只进入安全模式
病毒还会自启动!所以建议进入“带命令行的安全模式”)
首先,删除下面列出的所有文件或文件夹:
删除c:\WINDOWS\prefetch文件夹
删除下列文件:
C:\WINDOWS\
目录下的:eksplorasi.exe
C:\WINDOWS\system32
目录下的三个文件(有则删,无则PASS):
winword.exe
winlog.dat
计算机用户名’s Setting.scr (注:文件名因机子而异,注意分辨,其伪装成的是屏幕保护程序,可按类型排列文件后容易找出)
C:\Documents and Settings\Administrator\Local Settings\Application Data\
目录下的这六个文件(注意:这六个文件的图标为文件夹图标,不仔细看双击后即会启动病毒文件,前功尽弃!!!须从头再来……):
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\
目录下的:Empty.pif
C:\Documents and Settings\Administrator\Templates\
目录下的:Brengkolang.com
C:\Windows\ShellNew\
目录下的:sempalong.exe
然后,点“开始”——“运行”,在输入栏中输入:regedit
打开注册表,删除下面的相应键值:
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]主键下的如下键值(有则删,无则PASS):
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
"OSA" = "%System%\winword.exe"
"LoadService" = "Rest In Peace"
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]主键下的如下键值(有则删,无则PASS):
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe"
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]主键下的如下键值(有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_USERS\S-1-5-21-448539723-1409082233-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
主键下的如下键值 (有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana]的Pradana主键
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]主键下的如下键值(有则删,无则PASS):
"DisableRegistryTools" = "1"
"DisableTaskMgr" = "1"
最后重新启动计算机,应该就会好了。
其他方法:(似乎只是不受病毒骚扰,但没有删除病毒文件……)
方法二
1.先在任务管理器中结束所有winword.exe的进程,特别是你没有打开任何word文档,却有这个进程时。
2.然后搜索所有名为kangen的文件,找到后全都删除。还有在c:\windows\prefetch这个文件夹中也删了。
3.然后就没问题了。
对于染此病毒后“文件夹选项”会消失这点:
杀毒后可以在开始运行中输入gpedit.msc
点击左边“用户配置”中的“管理模板”——“Windows组件”——“Windows资源管理器”,
然后双击右边“从“工具”菜单删除“文件夹选项”菜单”一项。
点击“已禁用”,然后确定即可恢复“文件夹选项 |
| [关闭窗口]
[打印本页] |
|
 |
本栏推荐 |
|
