近期谨防恶性感染性病毒MSDOS.BAT

will

该病毒行为分析如下：

1.读取注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS，若存在该键，则自动退出；若不存在，则继续运行。
2.判断C盘是否存在MSDOS.bat，然后删除C:\windows\Tasks\0x01xx8p.exe：若删除成功，则把自身拷贝到C:\windows\Tasks\0x01xx8p.exe
3.若删除失败，则等待出错返回值：若返回值是5，则在后台调用控制台删除自身，然后程序退出；若返回值不是5，则把自身移动到C:\windows\Tasks\0x01xx8p.exe下
4.感染explorer.exe：先在C:\windows\tasks\释放被感染的explorer.ext   然后再保存到C:\windows\explorer.exe
5.修改注册表破坏隐藏文件的显示&修改系统时间
6.连接58.53.128.37，访问http://c.158dm.com/config.txt   然后拷贝到c:\windows\system32\windows.txt和c:\windows\system32\config.txt   
7.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm，插入windows.txt配置文件里的网页感染恶意代码。
8.感染系统目录以外的scr/com/cmd/bat/exe
9.释放C:\zzz.sys，创建服务加载，直接控制硬盘，将被感染的explorer.exe写入磁盘，破还原
10.按照windows.txt里的配置地址，下载N个木马，复制到c:\windows\system32\   并重命名为*.ext  (*=a1,a2,a3…)   然后运行c:\windows\system32\*.ext
11.将自身提升至Debug权限，检查是否存在进程kvsrvxp.exe/avp.exe/kissvc.exe，若存在，则调用OpenProcess函数打开进程句柄，然后调用TerminateProcess函数试图去结束进程；当然这点雕虫小技是对KV无效的。
12.遍历固定磁盘和可移动磁盘，在各个分区根目录下创建autorun.inf和MSDOS.BAT

目前KV已可以查杀此病毒，升级到4月8日后可以修复被感染的文件！（包括:scr/com/cmd/bat/exe/xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm)

[ 本帖最后由 yimike 于 2008-4-9 10:52 编辑 ]

r9cn

写得不错，支持一下

嘁。不稀罕~

电话线上网，病毒传播慢。。。

will

额    改天直接丢个给你！     

yjwfn502

主动防御能防吗?

suntao

多谢楼主提醒

will

主防可以防御   :-)    不过现在监控已经可以监视到病毒了  

weconnect

注意了…………竟然还有bat类病毒，……

will

扩展名为bat  实际上是PE文件  :-)

wanzhende

这个不知我是如何遇到的，前天发现磁盘里根目录下面有，估计是测试病毒时生成的，不过没有给我造成影响，因为有KV

想起来了，就是测试病毒时遇到的，是江民论坛有人发的，说过了江民的主防、进程查看器以及未知病毒扫描，经检测过不了主防，进程查看器可以查看出来并报部分可疑，未知病毒检测的确扫描不出来

[ 本帖最后由 wanzhende 于 2008-4-10 07:04 编辑 ]