中华网络安全联盟    作者：mopery    来源：卡卡社区    时间：2006-11-29 16:32:29

瑞星报 Worm.Suser.a 蠕虫..报得太离谱了..

运行样本后..
释放文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
替换掉系统文件 C:\WINDOWS\system32\mmc.exe (大小为61440字节.正常的应该是814592字节)

释放每个盘符下
AUTORUN.INF
tel.xls.exe

注册表添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00}

添加服务
[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>*/

删除隐藏文件键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

访问本地 127.0.0.1

清除方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序 kill
结束进程 mmc.exe

2.删除添加的注册表以及服务
下载 SREng 解压 运行-启动项目-注册表-删除
<ASocksrv><SocksA.exe> [1]

启动项目-服务-WIN32 应用程序
找到 [Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A> 删除...

3.利用压缩工具 WINRAR 删除文件
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

还有每个盘符下的
AUTORUN.INF
tel.xls.exe

3.恢复显示隐藏文件功能
http://mopery.hits.io/yincang.zip
下载 解压 双击 不能显示隐藏文件.reg 导入即可..

4.去正常系统中复制一个 C:\WINDOWS\system32\mmc.exe 到本机..