DSWLAB::Worm.Win32.Otwycal.b(MSDOS.bat)病毒分析与解决方案

Worm.Win32.Otwycal.b(MSDOS.bat)病毒分析与解决方案

出处：超级巡警时间：2008年4月22日

Worm.Win32.Otwycal.b运行后释放MSDOS.bat和Autorun.inf到各个磁盘的根目录下，并向正常的exlorer.exe文件写入数据，修改该文件,还会感染用户的可执行文件。此恶意程序会下载并运行多个恶意程序，这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。
	一、病毒相关分析：
	病毒标签：病毒名称：Worm.Win32.Otwycal.b 病毒类型：感染式蠕虫危害级别：5 感染平台：Windows 病毒大小：14,412(字节) SHA1　　：DC834AEE4B3558365577F0EE130FF5B73F8633CF 加壳类型：Upack
	病毒行为： 1、病毒运行后释放文件 %windir%\Windows.ext %windir%\explorer.ext %windir%\Sysfile.Brk 释放autorun.inf和MSDOS.bat到各盘根目录下 2、病毒尝试修改explorer.exe进程 3、感染C盘下的文件(非系统文件夹)，修改最后一个节的节名为WYcao，将病毒代码插在最后一个节的尾部 4、下载文件：http://www.wg*.cn/config.txt 根据该文件下载并运行以下文件 http://17bs.com//mh.exe http://17bs.com//chibi.exe http://17bs.com//fenghuo.exe http://17bs.com//huanxiang.exe http://17bs.com//jianxia.exe http://17bs.com//mr.exe http://17bs.com//qiji.exe http://17bs.com//toumingzhuang.exe http://17bs.com//wanmeiguoji.exe http://17bs.com//wendao.exe http://17bs.com//wulin.exe http://17bs.com//zhengtu.exe http://17bs.com//back/jianghu.exe http://17bs.com//back/moyu.exe http://17bs.com//back/WOW.exe http://17bs.com//qq3guo.exe http://17bs.com//cqsj.exe http://17bs.com//zhengtu.exe http://17bs.com//qqhuaxia.exe http://17bs.com//dh.exe http://17bs.com//yitian2.exe http://17bs.com//siluchuanshuo.exe http://17bs.com//qqziyou.exe http://17bs.com//zhuxian.exe http://17bs.com//dahua3.exe http://17bs.com/**/juren.exe 5、下载的病毒运行后会释放一些dll文件，添加注册表将这些dll注入到系统进程中，实现开机自启动注册表键:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 注册表值:AppInit_DLLs 值:wfhyt.dll,kghk.dll,lfsjgf.dll,stehs.dll,sthth.dll,frntrn.dll, drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll, serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll, serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll, xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll, vnjritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll, thurh.dll,mgmgmm.dll,oqrthc.dll,qrhhb.dll, jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll, ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll, setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fehom.dll, 6、病毒会将释放的dll文件注入explorer进程
	二、解决方案
	推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。超级巡警下载地址：http://www.dswlab.com/d1.html
	手工清除方法：　　 1、结束explorer.exe进程，拷贝%SystemRoot%\dllcache文件夹下的explorer.exe覆盖%SystemRoot%文件夹下的　　 explorer.exe 　　 2、删除病毒生成的文件：　　 %windir%\Windows.ext %windir%\explorer.ext %windr%\Sysfile.Brk 释放autorun.inf和MSDOS.bat到各盘根目录下　　 3、删除病毒添加的注册表项： [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"
	三、安全建议
	1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。　　 2、使用超级巡警的补丁检查功能，及时安装系统补丁。　　 3、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。　　 4、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。　　 5、禁用不必要的服务。　　 6、不要随便打开不明来历的电子邮件，尤其是邮件附件。　　 7、不要随意下载不安全网站的文件并运行。　　 8、下载和新拷贝的文件要首先进行查毒。　　 9、不要轻易打开即时通讯工具中发来的链接或可执行文件。　　 10、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。　　 11、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。
	注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变　　量指%Windir%\System32。其它：　　 %SystemDrive% 　　　　系统安装的磁盘分区　　 %SystemRoot% = %Windir% 　　WINDODWS系统目录　　 %ProgramFiles%　　　　　　应用程序默认安装目录　　 %AppData% 　　　　应用程序数据目录　　 %CommonProgramFiles%　　公用文件目录　　 %HomePath% 　　　　当前活动用户目录　　 %Temp% =%Tmp% 　　　　当前活动用户临时目录　　 %DriveLetter% 　　　　逻辑驱动器分区　　 %HomeDrive% 　　　　　当前用户系统所在分区

    超级巡警：彻底查杀各种木马，全面保护系统安全。
    更多免费工具下载：http://www.dswlab.com
    专业的桌面与内容安全产品：http://www.unnoo.com