未安装微点主动防御软件的手动解决办法:
1.手动删除以下文件
%systemroot%\system32\cjvesk.dat
%systemroot%\system32\bvkiwp1.dat
%systemroot%\system32\bvkiwp2.dat
%systemroot%\system32\bvkiwp3.dat
%systemroot%\system32\bvkiwp4.dat
%systemroot%\system32\bvkiwp5.dat
%programfiles%\hgreag\elijnixxb.dll(名称随机)
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
(1),创建进程快照,遍历查找进程"360tray.exe"、"ravmond.exe"、"qqpctray.exe"进程,若找到则分别标志。
(2),判断是否存在%systemroot%\system32\cjvesk.dat,如果有则退出程序,用该文件来标示本机是否运行过病毒。
(3),在系统目录下分别创建文件" bvkiwp1.dat "、" bvkiwp 2.dat"、" bvkiwp 3.dat"、" bvkiwp 4.dat"、" bvkiwp 5.dat",将配置信息分别写入到所创建的五个文件中,并设置为隐藏属性。
(4),创建目录"%programfiles%\hgreag\",并在此目录下创建elijnixxb.dll(名称随机),释放病毒代码到此文件中。
(5),通过调用lsp系统函数wscenumprotocols、wscinstallprovider、wscwriteproviderorder安装xvzgnwowz.dll到系统网络协议链中,更新所有服务提供者的安装顺序,把自定义的服务提供者排在所有协议的最前列,此时所有基于winsock实现的程序都会加载xvzgnwowz.dll。
(6),如果发现系统进和中存在安全软件进程,则直接退出程序,否则删除自身后退出程序。
(7),通过wsp系列wspsend()函数等截取用户游戏账号密码等网络数据发送至黑客指定地址。
病毒创建文件:
%systemroot%\system32\cjvesk.dat
%systemroot%\system32\bvkiwp1.dat
%systemroot%\system32\bvkiwp2.dat
%systemroot%\system32\bvkiwp3.dat
%systemroot%\system32\bvkiwp4.dat
%systemroot%\system32\bvkiwp5.dat
%programfiles%\hgreag\elijnixxb.dll(名称随机)
病毒访问网络:
www.sz***.com:54325/anquan
