手动解决办法:
1.停止并删除服务“Avt-Net“
2.手动删除文件
“%ProgramFiles%vvpvs.exe“
“%ProgramFiles%syslass.cpl“
“%SystemRoot%system32svcnet32.dll“
“%ProgramFiles%Common FilesPluginsindex.txt“
“%ProgramFiles%Common FilesPlugins“目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件
3.手动修改注册表
删除键值项
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net“
“HKEY_CLASSES_ROOTexefileNeverShowExt“
修改删除键值项
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden“
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden“
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALLCheckedValue“
变量声明:
%SystemDriver% 系统所在分区,通常为“C:“
%SystemRoot% WINDODWS所在目录,通常为“C:Windows“
%Documents and Settings% 用户文档目录,通常为“C:Documents and Settings“
%Temp% 临时文件夹,通常为“C:Documents and Settings当前用户名称Local SettingsTemp“
%ProgramFiles% 系统程序默认安装目录,通常为:“C:ProgramFiles“ 病毒分析:
1.将自身拷贝重命名为“C:Program Filesvvpvs.exe“,并创建新进程执行该文件。
2.创建新进程,执行命令“C:WINDOWSsystem32cmd.exe/c del 病毒主程序 > nul“,将自身文件删除。
3.“C:Program Filesvvpvs.exe“执行之后:
(1)将自身拷贝重命名为“C:Program Filessyslass.cpl“,设置该文件属性为只读、系统、隐藏,并设置自身文件属性为隐藏。
(2)创建名字为“Avt-Net“的服务,执行映像指向“%SystemRoot%system32svchost -k Avt-Net“,启动类型为自动,并设置该服务的“Description“、“Group“、“Type“ 、“FailureAction“等属性。
(3)获取系统目录,创建文件“C:WINDOWSsystem32svcnet32.dll“,写入病毒数据,设置该文件属性为只读、系统、隐藏。
(4)设置键值项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAvt-NetParametersServiceDll“ = “%SystemRoot%system32svcnet32.dll“、“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net“ = “Avt-Net“,之后启动服务“Avt-Net“。
(5)设置键值项“HKEY_CLASSES_ROOTexefileNeverShowExt“ = 0
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer AdvancedHidden“ = 2
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden“ = 0
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue“ = 0x00000001 (1)以隐藏文件扩展名和隐藏文件。
(6)创建新进程,执行命令“C:WINDOWSsystem32cmd.exe/c del C:PROGRA~1vvpvs.exe > nul“,将自身文件删除。
4.“Avt-Net“服务运行之后:
(1)创建名字为“_u_hook“的互斥对象,防止重复运行。
(2)创建目录“C:Program FilesCommon FilesPlugins“,解密网址,下载文件“http://messager.x**p.net:99/index.txt“保存为“C:Program FilesCommon FilesPluginsindex.txt“。
(3)读取文件“C:Program FilesCommon FilesPluginsindex.txt“中的病毒网址信息并下载到本地目录“C:Program FilesCommon FilesPlugins“中,设置病毒文件属性为隐藏,并创建新进程执行,之后删除文件“C:Program FilesCommon FilesPluginsindex.txt“。
(4)遍历所有可移动磁盘,并将其中所有文件夹设置属性为只读、系统、隐藏,并将病毒文件拷贝重命名为同名文件,迷惑用户点击,已达到恶意传播的目的。
病毒创建文件:
“%ProgramFiles%vvpvs.exe“
“%ProgramFiles%syslass.cpl“
“%SystemRoot%system32svcnet32.dll“
“%ProgramFiles%Common FilesPluginsindex.txt“
“%ProgramFiles%Common FilesPlugins“目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件
病毒删除文件:
“%ProgramFiles%vvpvs.exe“
“%ProgramFiles%Common FilesPluginsindex.txt“
病毒文件自身
病毒修改注册表:
创建键值项:
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net“
“HKEY_CLASSES_ROOTexefileNeverShowExt“
修改键值项:
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden“
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden“
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue“
病毒访问网络:
“http://messager.x**p.net:99/index.txt“以及从该文件中读取的多个病毒文件网址
“http://www.mili****foucs.net:99“
火炮世界大炮
单机游戏
132 MB
火炮世界大炮这款射击冒险游戏采