典型中毒表現(xiàn)

中病毒后，最容易被觀察到的現(xiàn)象是彈出廣告，任務(wù)管理器被禁用，殺毒軟件不能正常啟動(dòng)，不能升級(jí)，瀏覽器主頁被鎖定為www.baidu.com

詳細(xì)分析：

病毒全名：Worm.Downloader.cr.34304

病毒長度：34304

威脅級(jí)別：★★

病毒類型：蠕蟲病毒

簡(jiǎn)介：

這是一個(gè)蠕蟲病毒。該病毒運(yùn)行后，會(huì)在各盤產(chǎn)生auto病毒。并在系統(tǒng)盤的多個(gè)目錄下生成大量病毒文件。

而且病毒會(huì)通過映像劫持的方法，使得各安全軟件無法使用。纂改文件隱藏功能。修改了瀏覽器主頁，在打開瀏覽器時(shí)會(huì)自行下載病毒，并且彈出廣告等行為。

病毒行為：

1.病毒運(yùn)行后，產(chǎn)生以下病毒文件

%local settings%temporary Internet FilesContent.IE5EC5UKR17tj[1].htm

%local settings%temporary Internet FilesContent.IE5GR8I0NOHdown[1].txt

%local settings%temporary Internet FilesContent.IE5YF9D3U1ZtempA[1].exe

%Program Files%Internet ExplorerPLUGINSSysWin64.Jmp

%Program Files%Internet ExplorerPLUGINSWinSys64.Sys

在%windows%Fonts下添加許多后綴為"fon"的文件

在%windows%system32下添加許多后綴為"dll"和"exe"的病毒文件

在%temp%目錄下同樣產(chǎn)生病毒文件

2.在各盤目錄下，會(huì)生成AUTO病毒，分別是niu.exe和autorun.inf。其中，autorun.inf所指向的病毒是niu.exe，當(dāng)用戶左鍵雙擊進(jìn)入該盤時(shí)，病毒隨之觸發(fā)。

3.病毒運(yùn)行后，任務(wù)管理器被屏蔽不可使用(如圖)。

4.病毒運(yùn)行后，隱藏文件的功能被纂改,并且把文字內(nèi)容也修改。那句話的全部是“禽獸尚且有半點(diǎn)憐憫之心，而我一點(diǎn)沒有，所以我不是禽獸?！保ㄈ鐖D） 　　

5.病毒利用映像劫持的技術(shù)，使眾多安全軟件不可使用,只要以下有列出來的文件名,當(dāng)病毒監(jiān)測(cè)到時(shí),就會(huì)自行關(guān)閉?？纯矗€有哪個(gè)病毒劫持的安全軟件比它多。(如圖) 　　

6.病毒把主頁修改為www.baidu.com 7.會(huì)監(jiān)視窗口，當(dāng)在瀏覽器輸入與"安全"或"病毒"相關(guān)的網(wǎng)站，病毒會(huì)把瀏覽器立即關(guān)閉。 8.打開瀏覽器會(huì)彈廣告。 9.病毒會(huì)從以下地址下載更多木馬 　　

10.通過以下文本里的文件，對(duì)以下關(guān)鍵字進(jìn)行監(jiān)測(cè)，檢測(cè)后嘗試關(guān)閉相關(guān)網(wǎng)頁。http://w.******.com/guanjian.txt，但是這里作者卻把兩個(gè)殺軟的名字弄錯(cuò)，（不知是不是故意放卡巴和江民一馬） 　　

病毒還會(huì)利用www.******.com/pu/tj.asp，進(jìn)行感染量統(tǒng)計(jì)。

手工刪除方案： 一、清除病毒主程序 下載冰刃 sreng 1.解壓IceSword122cn.zip把Icesword.exe改名為1.com（使用AV終結(jié)者專殺后，可不用修改，既能運(yùn)行）運(yùn)行 切換到進(jìn)程窗口，結(jié)束%system32%crsss.exe進(jìn)程 （注意是crsss.exe不是csrss.exe，一定不要搞錯(cuò)） 　　

2.點(diǎn)擊左下角文件按鈕 刪除如下文件%system32%crsss.exe和每個(gè)分區(qū)下的niu.exe和autorun.inf（一定不要落下這一步） 　　

二、修復(fù)被病毒破壞的系統(tǒng) 1.打開sreng啟動(dòng)項(xiàng)目，注冊(cè)表。刪除所有紅色的IFEO映像劫持項(xiàng)目，并刪除 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]下的 專殺解決方案: 該病毒的清除，是相對(duì)比較麻煩的，盡管如此，請(qǐng)您不要輕易格式化重裝，因?yàn)椴《具€會(huì)通過自動(dòng)播放傳播，重裝后，很容易再中。 這個(gè)禽獸病毒的處理，和AV終結(jié)者病毒相似。我們需要在正常的電腦上下載AV終結(jié)者專殺，再COPY到本地計(jì)算機(jī)，運(yùn)行專殺工具可修復(fù)被破壞的安全模式和映像劫持。然后，殺毒軟件就可以正常使用了。 這時(shí)，再使用資源管理器瀏覽到金山毒霸的安裝目錄下（切記不要使用雙擊磁盤運(yùn)行程序），執(zhí)行uplive.exe升級(jí)金山毒霸。然后立即全盤殺毒，最后，使用金山清理專家，把病毒修改的注冊(cè)表項(xiàng)全部修復(fù)。因?yàn)檫@個(gè)“禽獸”病毒還下載了很多其它病毒在IE緩存文件夾，建議，直接使用清理專家百寶箱中的垃圾文件清理，直接刪除這些垃圾文件。 最后再次提醒大家一定要關(guān)閉電腦的自動(dòng)播放功能，不要讓此類惡性U盤病毒再如此肆意傳播了！

【編輯推薦】

1. 木馬病毒攻擊引發(fā)關(guān)注互聯(lián)網(wǎng)市場(chǎng)啟動(dòng)CN域名清理
2. 防木馬病毒 快者勝！十款安全軟件掃描功能特評(píng)
3. 警惕“快女”、“莫拉克”新聞暗藏木馬病毒