关于“wuauclt.exe”病毒的清理<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

2008 8 18 日中午 1 点接到 8777 的一份关于行政楼 505 办公室病毒故障通知,经过检查发现此网段中存在 ARP 欺骗***,导致营销部门的 505 等三间办公室出现大面积不能访问网络,但可以使用 eTerm ,在通过多查看台 PC ARP 表后,确定源故障机为工号为 A00806 员工的笔记本,在将其断网后,办公室全部网络通信恢复;   在处理此用户及工号为 A02684 员工的笔记本(感染同样病毒,但早就将其断网)时,发现办公室网络又出现故障,在检查后,发现又出现 ARP 欺骗***,经过抓包分析,发现为工号 T00279 员工的笔记本也感染同一病毒,进行局域网 ARP 欺骗***导致断网; 在处理此台笔记本时,另一员工的笔记本出现无法关机的情况,经过检查,也感染同一病毒;     至晚上七点半,已经处理了这几台故障机并进行该部门十几名值班人员工作电脑网关 ARP 绑定(通过 360ARP 防火墙进行绑定)后恢复正常工作;    在咨询了这几位员工后,大概确定为登录使用了该部门使用的 IP 10.110.10.181 的共享服务器或读取了邮件后出现故障,不过也不排除使用 MSN QQ 感染病毒;    (注:此办公室内部还使用了非管理交换机,无法在交换机上查找记录,且办公人员多、因此导致故障源确定困难,排除耗时 --- 加上处理的时间共处理了 6 个多小时,其中有四个多小时在确定故障源); 2008-8-19 早上上班后又出现 ARP ***导致网络故障,在通过查看 ARP 表及使用“ SolarWinds.Engineer.Edition ”软件结合的方法,迅速找到源故障机; 在清理了这几台故障机后,网络已经恢复正常。

查找到的病毒为 wuauclt.exe 文件,为一 “Windows 更新 陷阱的病毒文件,但有些病毒体文件又跟网上的资料不同,但可以确定为同一病毒的不同变种,其清除方法如下:

一、确定是否感染此病毒

1 、感染此病毒并发作后,最开始的现象是 MSN 掉线、无法登录;

2 、查看“文件夹选项”中的“隐藏文件和文件夹”下的两个单选子项是否都被选定,如果是则感染此病毒,设置“显示所有文件和文件夹”时不起作用,无法显示隐藏文件;

3 、无法运行防病毒软件、安全工具软件等安全相关的软件;防病毒软件被禁用;

4 、无法进入“安全模式”;

5 、在 PE 工具光盘系统中,可以看到所有分区根目录下有文件名为“ RSVS.PIF ”或“ RVS.PIF ”的 DOS 程序快捷文件、“ AUTORUN.INF ”文件;

6 、在“ C:\Documents and Settings ”目录下的各用户目录下可能会存在以数字为主文件名的“ PIF ”类型 DOS 程序快捷文件:一般在“ C:\Documents and Settings\%user% ”目录、“ C:\Documents and Settings\%user%\ 「开始」菜单”目录、“ C:\Documents and Settings\%user%\ 「开始」菜单 \ 程序 \ 启动”目录;

7 、在“ C:\WINDOWS\system32 ”下有一个 14KB 大小、隐藏属性的“ wuauclt.exe ”文件;

8 、在各分区的卷标文件夹“ System Volume Information ”下的目录中有病毒体文件;

二、清除病毒

1 、进入 PE 工具光盘系统中,删除所有分区根目录下有文件名为“ RSVS.PIF ”或“ RVS.PIF ”的 DOS 程序快捷文件、“ AUTORUN.INF ”文件;

删除“ C:\Documents and Settings\%user% ”目录、“ C:\Documents and Settings\%user%\ 「开始」菜单”目录、“ C:\Documents and Settings\%user%\ 「开始」菜单 \ 程序 \ 启动”目录下的以数字为主文件名的“ PIF ”类型 DOS 程序快捷文件;

删除“ C:\WINDOWS\system32 ”下有一个 14KB 大小、隐藏属性的“ wuauclt.exe ”文件;(此病毒可能会到网络服务器上下载各种病毒文件,因此可能会感染其它类型的病毒,在清理病毒时应该确定是否感染其它病毒);

删除各分区的卷标文件夹“ System Volume Information ”下的目录;

2 、安装“ 360 安全卫士”最新版,并设置“自定义扫描”添加 C 盘进行病毒的查杀;运行“ Windows 清理助手”绿化版软件设置自定义扫描 C 盘,进行病毒的查杀;

4 、重启电脑进入正常模式,运行“恶意软件清理助手”软件进行病毒的查杀;安装“ 360 安全卫士”、“金山清理专家”进行病毒的查杀;

5 、运行“ SysinternalsSuite 工具箱”中的“ autoruns.exe ”工具软件进行病毒的病毒的清理;运行“ SReng ”进行病毒的清理、系统的修复;运行“ 360 顽固***专杀大全”等安全工具软件进行病毒的清理;

6 、当在第 5 步使用“ SReng ”进行了系统的修复后,就可以正确设置显示隐藏文件和文件夹,然后确定在第 1 步中清理的病毒文件是否还存在;

7 、通过以上步骤后,重启后再确定是否还存在病毒文件、被修改的设置是否已正常;

 

    因此病毒是最新的病毒,所以在 8 18 日晚提交了病毒体文件至 SYMANTEC 安全响应中心后,在今天已经回复了检测结果,病毒定义码将在近两天更新;因无病毒定义码, 8 18 日晚检查 10.110.10.181 共享服务器时未检测到病毒,但无法确定是否存在此病毒;

 

此病毒的网上资料如下:

 

大蜘蛛提醒您小心“Windows更新陷阱

[url]http://www.sina.com.cn  2008[/url] 08 15  08:53   大蜘蛛

  最近不少用户反映电脑中了一个貌似 Windows 更新程序的病毒,中招后很多杀毒软件都束手就擒,右下角的杀软图标都乖乖退出,任由病毒肆意妄为而无可奈何。唯有绿色大蜘蛛及时报警拦截病毒,像一个钢铁战士忠实守卫在他的阵地上。

  现在的病毒制造者愈发的猖獗和狡猾,不仅病毒破坏力越来越强,其在掩饰方面也是做足了功夫,此病毒就是将图标伪装成 Windows 更新程序并将其命名为 update.exe 从而骗过各大网站和网民的眼睛,令其频频中招,给本已不平静的互联网又添波澜。

  大蜘蛛提醒广大用户:及时更新病毒库,防止中招。

  笔者简单分析了此病毒的运行行为,以供读者参阅。

  病毒样本图标如下图:病毒程序及其属性信息均模仿为 Windows 更新程序。

  

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

   1. 此病毒运行后启动进程 update.exe ,释放其本身及动态库文件到系统路径下并将属性设置为隐藏:

   C:\WINDOWS\system32\wuauclt1.exe

   C:\WINDOWS\system32\dllcache\wuauclt.exe

   C:\WINDOWS\system32\w1ninet.dll

   C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.859\update.EXE

   2. 修改注册表导致无法显示隐藏文件,从而达到隐藏本身的目的:

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002

   3. 在各个磁盘根目录下复制自身及 autorun.inf ,用户每次双击打开磁盘,都会调用 aoturun.inf 运行病毒,同时复制病毒自身到 U 盘,达到通过 U 盘传播的目的。

  

   4. 然后将病毒文件写入启动项 ( 这是一般病毒的常用技俩,用户机器每次启动时,病毒都会随机启动 )

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run “test”=C:\WINDOWS\system32\wuauclt1.exe

   5. 此病毒将系统时间调整为四年前,导致很多杀毒软件的许可文件失效,无法实现扫描功能,因此要遏制此病毒的爆发还是要依赖于杀毒软件的监控能力。

  

  大蜘蛛监控程序在病毒运行的第一时间将其拦截,阻止其运行。如下图:

  

 

 

 

 

      注:怎么使用 PE 工具光盘清理病毒,请参照我的另一篇文档“最新 AppInit_DLLs 病毒清理方法”;

 

                               李政

                               2008-8-21 最后修改