bsmain.exe 瑞星仇恨者查杀方法是什么
电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。对于bsmain.exe ,这是一个模仿瑞星杀毒软件的恶意程序,使用VB编写,包括版本信息,文件图标均和瑞星的文件一致,并试图卸载瑞星杀毒软件,覆盖感染可执行文件。因此可以把它叫做“瑞星仇恨者”
病毒具体分析如下:
Quote:
学习啦在线学习网 File: bsmain.exe
学习啦在线学习网 Size: 131072 bytes
File Version: 20.00
学习啦在线学习网 Modified: 2008年3月7日, 22:18:04
学习啦在线学习网 MD5: 1EFE96D8D20513351DB5C1681D7BBAFE
SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D
学习啦在线学习网 1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。
学习啦在线学习网 2.释放如下文件或者副本:
学习啦在线学习网 C:\Windows\system32\bsmain.exe(病毒文件)
不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。
学习啦在线学习网 3.在注册表中添加如下启动项目
Quote:
学习啦在线学习网 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
[Beijing Rising Technology Co., Ltd.]
学习啦在线学习网 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
[Beijing Rising Technology Co., Ltd.]
学习啦在线学习网 以此达到开机启动自身的目的
4.添加映像劫持项目劫持如下常见杀毒软件
Quote:
360Safe.exe
360tray.exe
学习啦在线学习网 adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
AST.exe
学习啦在线学习网 autoruns.exe
avconsol.exe
学习啦在线学习网 avgrssvc.exe
学习啦在线学习网 AvMonitor.exe
avp.com
avp.exe
学习啦在线学习网 ccSvcHst.exe
ceSword.exe
学习啦在线学习网 EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
学习啦在线学习网 FYFireWall.exe
学习啦在线学习网 HijackThis.exe
IceSword.exe
学习啦在线学习网 iparmo.exe
学习啦在线学习网 Iparmor.exe
学习啦在线学习网 isPwdSvc.exe
kabaload.exe
学习啦在线学习网 KaScrScn.SCR
学习啦在线学习网 KASMain.exe
KASTask.exe
学习啦在线学习网 KAV32.exe
学习啦在线学习网 KAVDX.exe
KAVPF.exe
学习啦在线学习网 KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
学习啦在线学习网 KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
学习啦在线学习网 KvfwMcl.exe
学习啦在线学习网 KVMonXP.kxp
学习啦在线学习网 KVMonXP_1.kxp
学习啦在线学习网 kvol.exe
学习啦在线学习网 kvolself.exe
学习啦在线学习网 KvReport.kxp
KVScan.kxp
学习啦在线学习网 KVSrvXP.exe
KVStub.kxp
kvupload.exe
学习啦在线学习网 kvwsc.exe
KvXP.kxp
学习啦在线学习网 KvXP_1.kxp
学习啦在线学习网 KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
学习啦在线学习网 MagicSet.exe
学习啦在线学习网 mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
学习啦在线学习网 nod32.exe
nod32krn.exe
nod32kui.exe
学习啦在线学习网 NPFMntor.exe
PFW.exe
学习啦在线学习网 PFWLiveUpdate.exe
QHSET.exe
学习啦在线学习网 QQDoctor.exe
学习啦在线学习网 QQKav.exe
Ras.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
学习啦在线学习网 runiep.exe
safelive.exe
shcfg32.exe
SmartUp.exe
学习啦在线学习网 SREng.EXE
symlcsvc.exe
学习啦在线学习网 SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
学习啦在线学习网 TrojDie.kxp
UIHost.exe
UmxAgent.exe
学习啦在线学习网 UmxAttachment.exe
UmxCfg.exe
学习啦在线学习网 UmxFwHlp.exe
UmxPol.exe
学习啦在线学习网 upiea.exe
学习啦在线学习网 UpLive.exe
学习啦在线学习网 USBCleaner.exe
学习啦在线学习网 vsstat.exe
学习啦在线学习网 webscanx.exe
WoptiClean.exe
劫持到C:\Windows\system32\bsmain.exe
5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...
6.修改txt文件关联指向C:\Windows\system32\bsmain.exe
解决办法:
下载sreng:
学习啦在线学习网 1.打开sreng,启动项目 注册表 删除如下项目
学习啦在线学习网 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
[Beijing Rising Technology Co., Ltd.]
把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
shell值改为explorer.exe
并删除所有红色的IFEO项目
学习啦在线学习网 系统修复-文件关联 点击修复
2.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
学习啦在线学习网 删除C:\WINDOWS\system32\bsmain.exe
3.对于被覆盖感染的exe文件,就只能全部删除了...默哀吧...
相关阅读:2018网络安全事件:
学习啦在线学习网 一、英特尔处理器曝“Meltdown”和“Spectre漏洞”
学习啦在线学习网 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
学习啦在线学习网 二、GitHub 遭遇大规模 Memcached DDoS 攻击
学习啦在线学习网 2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
学习啦在线学习网 三、苹果 iOS iBoot源码泄露
2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。
四、韩国平昌冬季奥运会遭遇黑客攻击
学习啦在线学习网 2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。
五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪
2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。
学习啦在线学习网 Radiflow 公司称,此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备,之所以导致废水处理系统瘫痪,是因为这种恶意软件会严重降低 HMI 的运行速度。
学习啦在线学习网 病毒查杀方法是什么相关文章:
2.
4.
5.