警惕混合型新病毒 超越机器狗的NS下载器
近期发现了一个恶劣的木马下载器,目前截获版本号为NSDownLoader25Vip20081130。
奥运之后有较长一段时间木马产业链的从业者相对比较沉静,出现的病毒也没有多少新意,而这个NS下载者看来要打破这个短暂的沉静了。
据分析,这个NS下载器继承了机器狗病毒穿还原卡的功能,利用ARP攻击在局域网传播。同时,病毒还有扫荡波的特点,攻击没有修补MS08-067号漏洞的Windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
为了下载更多木马,类似的下载者都会选择和AV终结者一样的手法——映像劫持或利用自身驱动强行关闭杀毒软件进程,修改hosts文件阻止用户访问杀毒厂商的网站,影响杀毒软件的升级。
综合看来,这个病毒是集多种主流病毒木马技术于一体的混血儿,目前这个混血儿还在不断更新中,预计中招的电脑还会增加。
对付这个混血儿,用金山系统急救箱会更加简单一些。目前急救箱还不能一次重启就解决,先修复一部分再用清理专家来完成后续的修复工作。
急救箱下载地址
http://bbs.duba.net/thread-21988813-1-1.html
手动删除病毒
(a)删除文件(使用顽固文件删除工具才可以删除)
%sys32dir%\Nskhelper2.sys %sys32dir%\appwinproc.dll %sys32dir%\NsPass0.sys %sys32dir%\NsPass1.sys %sys32dir%\NsPass2.sys %sys32dir%\NsPass3.sys %sys32dir%\NsPass4.sys
每个驱动器下,存在autorun.inf和对应的system.dll
(b)从dllcache目录下修复系统文件。
%sys32dir%\schedsvc.dll %sys32dir%\appmgmts.dll %sys32dir%\srsvc.dll %sys32dir%\w32time.dll %sys32dir%\wiaservc.dll
(c)删除注册表
HKLM\SYSTEM\CurrentControlSet\Services\NsRk1 “ImagePath” "\??\C:\WINDOWS\system32\Nskhelper2.sys" HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk00 “ImagePath” "\??\C:\WINDOWS\system32\NsPass0.sys" HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk01 “ImagePath” "\??\C:\WINDOWS\system32\NsPass1.sys" HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk02 “ImagePath” "\??\C:\WINDOWS\system32\NsPass2.sys" HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk03 “ImagePath” "\??\C:\WINDOWS\system32\NsPass3.sys" HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk04 “ImagePath” "\??\C:\WINDOWS\system32\NsPass4.sys"
(d)修复映像劫持。
(e)清除%temp%目录。
(f)修复hosts文件。
安全建议:
1.务必使用金山清理专家扫描并修复所有系统漏洞。
2.局域网用户务必安装金山ARP防火墙,防止局域网内其它电脑中毒导致你浏览任何网页也跟着下载病毒。
3.及时升级杀毒软件,以拦截该病毒的已知变种。
4.尽量不去浏览不太可靠的web站点,网页挂马是这类病毒传播的主要方式之一。
5.禁用自动播放功能,避免在插入U盘或移动硬盘时中毒。
如果发现U盘的autorun.inf(可以用记事本打开这个文件)中含以下内容,就有可能中了这个NS下载器,推荐使用金山清理专家在线诊断,以发现病毒入侵的线索。
[autorun] shell\open\command=rundll32 system.dll,explore shell\explore\command=rundll32 system.dll,explore
本文来源:塞迪网 作者:佚名
天下网吧·网吧天下
闽公网安备35010202000238号