手动解决办法:
1.停止并删除服务&Avt-Net&
2.手动删除文件
&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%syslass.cpl&
&%SystemRoot%system32svcnet32.dll&
&%ProgramFiles%Common FilesPluginsindex.txt&
&%ProgramFiles%Common FilesPlugins&目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件
3.手动修改注册表
删除键值项
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net&
&HKEY_CLASSES_ROOTexefileNeverShowExt&
修改删除键值项
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden&
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden&
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALLCheckedValue&
变量声明:
%SystemDriver% 系统所在分区,通常为&C:&
%SystemRoot% WINDODWS所在目录,通常为&C:Windows&
%Documents and Settings% 用户文档目录,通常为&C:Documents and Settings&
%Temp% 临时文件夹,通常为&C:Documents and Settings当前用户名称Local SettingsTemp&
%ProgramFiles% 系统程序默认安装目录,通常为:&C:ProgramFiles&
病毒分析:
1.将自身拷贝重命名为&C:Program Filesvvpvs.exe&,并创建新进程执行该文件。
2.创建新进程,执行命令&C:WINDOWSsystem32cmd.exe /c del 病毒主程序 > nul&,将自身文件删除。
3.&C:Program Filesvvpvs.exe&执行之后:
(1)将自身拷贝重命名为&C:Program Filessyslass.cpl&,设置该文件属性为只读、系统、隐藏,并设置自身文件属性为隐藏。
(2)创建名字为&Avt-Net&的服务,执行映像指向&%SystemRoot%system32svchost -k Avt-Net&,启动类型为自动,并设置该服务的&Description&、&Group&、&Type& 、&FailureAction&等属性。
(3)获取系统目录,创建文件&C:WINDOWSsystem32svcnet32.dll&,写入病毒数据,设置该文件属性为只读、系统、隐藏。
(4)设置键值项&HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAvt-NetParametersServiceDll& = &%SystemRoot%system32svcnet32.dll&、&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net& = &Avt-Net&,之后启动服务&Avt-Net&。
(5)设置键值项&HKEY_CLASSES_ROOTexefileNeverShowExt& = 0
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer AdvancedHidden& = 2
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden& = 0
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue& = 0x00000001 (1)以隐藏文件扩展名和隐藏文件。
(6)创建新进程,执行命令&C:WINDOWSsystem32cmd.exe /c del C:PROGRA~1vvpvs.exe > nul&,将自身文件删除。
4.&Avt-Net&服务运行之后:
(1)创建名字为&_u_hook&的互斥对象,防止重复运行。
(2)创建目录&C:Program FilesCommon FilesPlugins&,解密网址,下载文件&http://messager.x**p.net:99/index.txt&保存为&C:Program FilesCommon FilesPluginsindex.txt&。
(3)读取文件&C:Program FilesCommon FilesPluginsindex.txt&中的病毒网址信息并下载到本地目录&C:Program FilesCommon FilesPlugins&中,设置病毒文件属性为隐藏,并创建新进程执行,之后删除文件&C:Program FilesCommon FilesPluginsindex.txt&。
(4)遍历所有可移动磁盘,并将其中所有文件夹设置属性为只读、系统、隐藏,并将病毒文件拷贝重命名为同名文件,迷惑用户点击,已达到恶意传播的目的。
病毒创建文件:
&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%syslass.cpl&
&%SystemRoot%system32svcnet32.dll&
&%ProgramFiles%Common FilesPluginsindex.txt&
&%ProgramFiles%Common FilesPlugins&目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件
病毒删除文件:
&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%Common FilesPluginsindex.txt&
病毒文件自身
病毒修改注册表:
创建键值项:
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net&
&HKEY_CLASSES_ROOTexefileNeverShowExt&
修改键值项:
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden&
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden&
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue&
病毒访问网络:
&http://messager.x**p.net:99/index.txt&以及从该文件中读取的多个病毒文件网址
&http://www.mili****foucs.net:99&