Trojan.Win32.AD.sq分析與解決方案

     超級巡警團隊監(jiān)測到惡意程序Trojan.Win32.AD.sq正在傳播，該病毒運行后創(chuàng)建病毒文件，屏蔽任務管理器以及對病毒文件的右鍵屬性功能，并導致用戶無法瀏覽圖片等，自動打開大量廣告網(wǎng)頁及黃色網(wǎng)站，嚴重影響用戶電腦的運行速度和網(wǎng)速。超級巡警提醒廣大用戶及時更新病毒庫，對該程序進行有效查殺。

一、病毒相關分析：

       　 病毒標簽：
        　病毒名稱：Trojan.Win32.AD.sq
      　  病毒類型：木馬類
  　      危害級別：3
  　      感染平臺：Windows
     　   病毒大�。�69,632 字節(jié)
  　      S H A 1  ：f902318c15115b28a6cb5a241985790829a6c108
     　   加殼類型：無殼
     　   開發(fā)工具：Microsoft Visual C++ 6.0

     病毒行為：
         1、該病毒運行后創(chuàng)建并運行以下病毒文件：
             %Windir%DLECOQ.bat
             %Windir%E3CO3VEIF.exe（名稱隨機，大小69,632 字節(jié)）
             %ProgramFiles%KVBTR.exe（名稱隨機，大小32,768 字節(jié)）
             %ProgramFiles%QZVBEJX654OV.bat（名稱隨機，大小1,377 字節(jié)）
             %ProgramFiles%8YMF8GZRLVG（文件夾名稱隨機）
             %ProgramFiles%8YMF8GZRLVGRCD6T2RJ4P.exe（名稱隨機，大小69,632 字節(jié)）
         2、調(diào)用命令解釋程序運行生成的如下文件：
              %ProgramFiles%QZVBEJX654OV.bat（名稱隨機，大小1,377 字節(jié)）
              文件執(zhí)行完畢后，刪除自身。
         3、設置病毒文件屬性為：只讀，隱藏，系統(tǒng)。
         4、創(chuàng)建啟動類型為自動的Windows服務:sc.exe create XAC4OT4CD
              顯示名稱：3YF2X7J6（名稱隨機）
         5、解除以下服務，方便下載木馬等：
              regsvr32.exe /u /s shimgvw.dll ：導致用戶無法瀏覽圖片照片等
              regsvr32.exe /u /s itss.dll ：導致用戶無法打開CHM/ITS格式文件
              regsvr32.exe /u /s scrrun.dll：利于基于FSO組件的ASP木馬的下載執(zhí)行
              regsvr32.exe /u /s vbscript.dll：反注冊Vbscript.dll，讓某些網(wǎng)頁無法瀏覽
              regsvr32.exe /s jscript.dll：注冊jscript.dll，不管成功與否均不顯示提示框
         6、添加以下注冊表項來修改internet選項設置：
              HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainPlay_Background_Sounds  /t REG_SZ /d no
             ：禁止播放HTML中的背景音樂
             HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainPlay_Animations /t REG_SZ /d no
             ：禁止播放網(wǎng)頁中的動畫