也来个手杀jwgkvsq.vmx

zhousulin5

多余的话不说了，先说此毒的预防，给系统打补丁是最直接也是最有效的，KB958644，具体细节请参考微软安全公告MS08-067。未打此补丁的系统中我没能找到用组策略预防此毒的方法，不允许jwgkvsq.vmx也不行。如果是用HIPS的话，与防其他U盘病毒一样，必须要阻止svchost读取autorun.inf文件。此毒感染系统时jwgkvsq.vmx和autorun.inf二者必须同时存在，我试过保留autorun.inf而对jwgkvsq.vmx所在的文件夹改名，插入U盘后报找不到jwgkvsq.vmx文件，感染失败，由此我推测此毒不是仅由一个autorun.inf文件对svchost进行溢出攻击的感染方式（这种可怕的方式目前我还只是听说有而未见过）。
中毒后，病毒会修改注册表中关于显示系统及隐藏属性文件的值，使用户不能在“文件夹选项”中选择显示所有文件（用户可以选中但选项不会生效）。好在我们可以手工改注册表值，然后就可以通过文件夹选项来显示所有文件了。因此步骤与手杀关系不大就不上图了。
此毒隐藏了其服务的细项，它的服务用regedit只能看到一个服务的名字，其下是空的。用wsyscheck甚至不会显示出服务的名字，这就是它的厉害之处，也就是说，想用wsyscheck来手杀它几乎是不可能的任务。而且其服务名称是随机的。

zhousulin5

用xuetr看它的服务，第一个例子

zhousulin5

用xuetr看到的服务，第二个例子，因为是在刚插入带毒U盘后抓的图，它的服务状态还没有变成“已停止”。注意它的服务名称是不同的，不过，那个DLL文件名字是一样的（这只是我看到的，或许其他变种不再是这个名字）。
另外，请看它的描述，两个例子中的描述也不相同，但内容都很迷惑人，粗心的用户会以为它就是个普通有用的服务。

lfx123

恩，谢谢交流，要用ARK也不容易。

zhousulin5

用wsyscheck看不到它的服务，不过可以看到某个svchost下的线程中有几个显示成问号的线程，请关注它的PID（这张图中看不到），我试过重启系统后再看，有问题的这个svchost的PID仍然是852，其他机子上没看过，不过我猜这个毒在某个确定的系统中申请的PID也是确定的。
我也试过用wsyscheck终止这几个问号的线程，然后我发现插入U盘时不会被感染了，也就是说wsyscheck在此毒面前还没有一败涂地。
另：我还见过另一种毒也是会在wsyscheck中看到有这种显成问号的线程，但它是在smss下面，那个毒至今我没能对付掉，因为xuetr和其他的几乎所有我用过的辅助工具都无法加驱，不知道它还有什么埋伏。

zhousulin5

病毒不会锁定U盘上的文件，但它自己的文件还是会锁定的。
这是用xuetr看到的病毒DLL文件的锁定情况，是由svchost锁定的，原因当然是因为服务是由svchost统一调度的。如果在这里解除锁定，就可以在资源管理器中删除病毒文件了。
我当然从方便出发，直接用xuetr找出那个包含病毒线程的svchost进程并结束它，然后删除并阻止重新生成那个DLL文件，最后删除它的服务。手杀就算完成了。

zhousulin5

最后总结一些它的特点：
只在可移动盘生成autorun.inf和jwgkvsq.vmx，不在本地硬盘生成这两个文件。
只在检测到Ｕ盘插入时试图感染，只试一次。对生成的文件不锁定，用户可以删除，在插入U盘后直到弹出U盘再度插入，病毒不会再次生成这两个文件。
在system32下生成yzhnvbu.dll，并注册此文件为一个服务，服务名称随机，在很多地方看起来与其他多数正常服务一样，很迷惑人，在xuetr中看到的映像路径imagepath也是c:\windows\system32\svchost.exe -k netsvcs，不过可以在parameters下的ServiceDLL看到它的真实面目。这个服务的启动类型是自动，但它启动成功后就停止，这样也使它更不容易被发现。
用系统的regedit只能看到服务名称，其下空白，无法看到这个服务的详细信息。用wsyscheck甚至不能看到此服务。

zhousulin5

嗯，忘了问大家元旦好了。
大家元旦快乐，天天快乐。

tawny2008

支持原创

zhousulin5

再来两张图，今天的最新发现，这个病毒确实会生成随机的DLL文件，甚至病毒DLL文件的位置也并不总是在system32下。