avp.exe病毒(win32.downloader)清理
不小心也成了avp.exe上受害者,费了一天的业余时间,总算解决了,写出来供大家参考。
病毒的表现:
1、 存在avp.exe(如果没装卡巴斯基的话),wincom.exe这两个进程。
2、 存在下述文件
c:\winsys.exe
c:\winsys.inf
c:\ver.txt
c:\avp.exe
c:\windows\system32\wincom.exe
c:\windows\system32\drivers\winsys.sys
3、卸载软件时出现NSIS ERROR错误。
4、运行360等清理软件时,提示文件被修改。
探索过程:
用windwos清理助手、360安全卫士都可以查到上述文件的存在,但清理后过一阵再查,依然存在。
从网上搜索,看到有个帖上提到“凝逸反毒”,下载运行,还真不错,杀过后,过一阵再查虽然C:\下还存在avp.exe,但进程里没有了,说明它不自动运行了。
病毒研究:
研究了一下,发现把c:\下的avp.exe删除后,只要一运行其它程序,马上那个avp.exe又出现了,说明大部分exe文件被感染了。而断开网络连接后运行其它程序,avp.exe并不出现,说明它是从网络上下载的。
用工具查看avp.exe,发现它是用dehpi编写的,并用UPX加壳。启动两个线程,一个线程负责联网和设置某些启动项目,另一个线程负责感染文件。
最后查杀:
既然是病毒,那么杀毒软件应该有反应吧,右击avp.exe用瑞星2008查杀,没反应。猜想被感染的文件一定有反应,正好有时间,用瑞星2008全盘杀毒试一下,这下有反应了,一共查出318个文件被感染,全是可执行文件。查完后,一切正常,搞定了。
这里要注意,杀毒前要先把进程里的avp.exe关闭(如果有的话),不要再运行其它软件。杀毒时,要选清除病毒,不要选删除文件。
这个病毒就这么搞定了,它只不过是一个下载者病毒罢了。
北欧¤神话 #2发表于 2008-4-7 23:10
楼主能否提供一下样本
PopPinG楠楠 #3发表于 2008-4-8 09:50
大哥们帮帮忙,专杀杀不掉啊
晴天维以蓝 #4发表于 2008-4-8 09:59
LZ的经验值得学习
谢谢分享
