看到草莽书生的VirusKillBox被七位字母命名的病毒IFEO劫持了。他针对此类病毒给出了的修复指令很丰富了,不过却遭到新变种的反击……不过这样的反击不值一提,改个软件的名字即可绕过。说这个病毒是小病毒一点也没错。我决定向草莽书生、农夫、FlowerCode等靠近,重新拿起C、VB、汇编……用VBS脚本写专杀的源码既然已经公开,就不打算今后采取加密的措施了。
今天在风云墙里拿到病毒样本cmxpbpl.exe,这也是七位字母命名的病毒,和之前分析的那些变种行为都一样。这个变种也具备对付autorun.inf免疫文件夹的功能。估计是网络原因吧,我没看到其下载者行为。简单分析如下:
病毒文件:cmxpbpl.exe
病毒MD5:9a254b760c6f49a3e19500efae683983
病毒类型:Aurorun型病毒,通过移动盘传播,具下载者性质
一、病毒运行后生成如下文件:
%systemroot%\system32\egclmvo.exe
%systemroot%\system32\cyqttve.exe
%systemroot%\system32\meex.com
X:\cmxpbpl.exe
X:\autorun.inf
注:如果你的操作系统在C盘,那么%systemroot%表示C:\windows,X表示每一个盘符(除了移动盘)。egclmvo.exe、cyqttve.exe、cmxpbpl.exe与meex.com是同一病毒。
二、修改注册表键值:
1、IFEO劫持等其它行为(略——参考这)
2、添加如下注册表键值以达到随机启动的目的:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmxpbpl 值:C:\windows\system32\egclmvo.exe 类型:REG_SZ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dnpsalq 值:C:\windows\system32\cyqttve.exe 类型:REG_SZ
三、中毒症状:
最典型的就是许多安全软件无法使用(双击启动不了),这会导致你有重装系统的冲动……教你一个方法绕过,将你运行不了的安全软件改个名字即可(如果可以重命名的话);系统时间被改为1980年11月15日;每个盘符根目录下都有病毒文件,双击打不开或在新窗口中打开(这往往导致许多人重装系统后又中毒了),并且盘符下还有病毒生成的随机7位字母的文件夹,此文件下还有个带点的文件夹,删不了;任务管理器中的病毒进程互相保护着,你根本没办法结束它们(其实办法还是有的)。
2007年6月6日专杀更新:
专杀目前可以完全查杀kocmbcd.exe、ouvjwsc.exe、nqgphqd.exe、udnnnvq.exe与cmxpbpl.exe通过移动盘传播的病毒!
