典型中毒表現(xiàn)

中病毒后，最容易被觀察到的現(xiàn)象是彈出廣告，任務(wù)管理器被禁用，殺毒軟件不能正常啟動，不能升級，瀏覽器主頁被鎖定為www.baidu.com

詳細分析：

病毒全名：Worm.Downloader.cr.34304

病毒長度：34304

威脅級別：★★

病毒類型：蠕蟲病毒

簡介：

這是一個蠕蟲病毒。該病毒運行后，會在各盤產(chǎn)生auto病毒。并在系統(tǒng)盤的多個目錄下生成大量病毒文件。

而且病毒會通過映像劫持的方法，使得各安全軟件無法使用。纂改文件隱藏功能。修改了瀏覽器主頁，在打開瀏覽器時會自行下載病毒，并且彈出廣告等行為。

病毒行為：

1.病毒運行后，產(chǎn)生以下病毒文件

%local settings%temporary Internet FilesContent.IE5EC5UKR17tj[1].htm

%local settings%temporary Internet FilesContent.IE5GR8I0NOHdown[1].txt

%local settings%temporary Internet FilesContent.IE5YF9D3U1ZtempA[1].exe

%Program Files%Internet ExplorerPLUGINSSysWin64.Jmp

%Program Files%Internet ExplorerPLUGINSWinSys64.Sys

在%windows%Fonts下添加許多后綴為"fon"的文件

在%windows%system32下添加許多后綴為"dll"和"exe"的病毒文件

在%temp%目錄下同樣產(chǎn)生病毒文件

2.在各盤目錄下，會生成AUTO病毒，分別是niu.exe和autorun.inf。其中，autorun.inf所指向的病毒是niu.exe，當用戶左鍵雙擊進入該盤時，病毒隨之觸發(fā)。

3.病毒運行后，任務(wù)管理器被屏蔽不可使用(如圖)。

4.病毒運行后，隱藏文件的功能被纂改,并且把文字內(nèi)容也修改。那句話的全部是“禽獸尚且有半點憐憫之心，而我一點沒有，所以我不是禽獸?！保ㄈ鐖D） 　　

5.病毒利用映像劫持的技術(shù)，使眾多安全軟件不可使用,只要以下有列出來的文件名,當病毒監(jiān)測到時,就會自行關(guān)閉。看看，還有哪個病毒劫持的安全軟件比它多。(如圖) 　　

6.病毒把主頁修改為www.baidu.com 7.會監(jiān)視窗口，當在瀏覽器輸入與"安全"或"病毒"相關(guān)的網(wǎng)站，病毒會把瀏覽器立即關(guān)閉。 8.打開瀏覽器會彈廣告。 9.病毒會從以下地址下載更多木馬 　　

10.通過以下文本里的文件，對以下關(guān)鍵字進行監(jiān)測，檢測后嘗試關(guān)閉相關(guān)網(wǎng)頁。http://w.******.com/guanjian.txt，但是這里作者卻把兩個殺軟的名字弄錯，（不知是不是故意放卡巴和江民一馬） 　　

病毒還會利用www.******.com/pu/tj.asp，進行感染量統(tǒng)計。

手工刪除方案： 一、清除病毒主程序 下載冰刃 sreng 1.解壓IceSword122cn.zip把Icesword.exe改名為1.com（使用AV終結(jié)者專殺后，可不用修改，既能運行）運行 切換到進程窗口，結(jié)束%system32%crsss.exe進程 （注意是crsss.exe不是csrss.exe，一定不要搞錯） 　　

2.點擊左下角文件按鈕 刪除如下文件%system32%crsss.exe和每個分區(qū)下的niu.exe和autorun.inf（一定不要落下這一步） 　　

二、修復被病毒破壞的系統(tǒng) 1.打開sreng啟動項目，注冊表。刪除所有紅色的IFEO映像劫持項目，并刪除 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]下的 專殺解決方案: 該病毒的清除，是相對比較麻煩的，盡管如此，請您不要輕易格式化重裝，因為病毒還會通過自動播放傳播，重裝后，很容易再中。 這個禽獸病毒的處理，和AV終結(jié)者病毒相似。我們需要在正常的電腦上下載AV終結(jié)者專殺，再COPY到本地計算機，運行專殺工具可修復被破壞的安全模式和映像劫持。然后，殺毒軟件就可以正常使用了。 這時，再使用資源管理器瀏覽到金山毒霸的安裝目錄下（切記不要使用雙擊磁盤運行程序），執(zhí)行uplive.exe升級金山毒霸。然后立即全盤殺毒，最后，使用金山清理專家，把病毒修改的注冊表項全部修復。因為這個“禽獸”病毒還下載了很多其它病毒在IE緩存文件夾，建議，直接使用清理專家百寶箱中的垃圾文件清理，直接刪除這些垃圾文件。 最后再次提醒大家一定要關(guān)閉電腦的自動播放功能，不要讓此類惡性U盤病毒再如此肆意傳播了！

【編輯推薦】

1. 木馬病毒攻擊引發(fā)關(guān)注互聯(lián)網(wǎng)市場啟動CN域名清理
2. 防木馬病毒 快者勝！十款安全軟件掃描功能特評
3. 警惕“快女”、“莫拉克”新聞暗藏木馬病毒