后门狂奔者reper.exe专杀

 

病毒名称：Win32.Troj.Reper 影响系统：Win9x / WinNT 处理时间： 
　中文名称：瑞普 病毒类型：木马 威胁级别： ★★ 
　病毒别名：Trojan.Reper[KV] 

病毒行为
该病毒伪装成记事本文件，一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件，每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项，以使每次开机都运行病毒；病毒还修改文本文件的关联程序指向自身，这样用户每次打开文本文件的时候病毒又悄悄地运行起来。病毒会关闭Windows 任务管理器，注册表编辑器，进程查看器，命令行窗口程序，进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程，这将关闭众多的反病毒软件，大大降低了中毒机器的安全性能，给其他病毒大开方便之门。病毒还激活guest帐户，添加一个管理员帐户，并且删除默认的管理员帐户"Administrator"，为黑客攻击打开后门。

1.病毒检查当前目录，如果是根目录，就创建Explorer进程，打开当前目录；如果不是根目录，就创建互斥体nothing，防止多个实例同时运行

2.将自身复制为以下文件（路径是硬编码的，如过不存在就释放不成功）：
%SystemRoot%/svchost.exe
%System%/N0TEPAD.EXE
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/login.pif
C:/Documents and Settings/<当前用户名>/「开始」菜单/程序/启动/login.pif

修改文件C:/autoexec.bat内容。

并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe （该文件是病毒的副本）
autorun.inf

autorun.inf文件的内容为：
[autorun]
open=reper.exe

当用户打开磁盘的时候病毒就自动运行了。

3.修改注册表。
添加启动项：
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
"Services"="%SystemRoot%/svchost.exe"

修改文本文件关联程序为病毒文件：
HKCR/txtfile/shell/open/command/
"默认"="%System%/N0TEPAD.EXE %1"

4.创建两个线程，一个时钟。
1)一个线程用来关闭特定的进程：
regedit.exe
cmd.exe
ntvdm.exe

以及进程名中包含任意任意一下字符串的进程：
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"

2)另一个进程用来每2分钟运行一次C:/autoexec.bat。该文件被修改以后运行，将激活guest帐户，添加一个管理员帐户，并且删除默认的管理员帐户"Administrator"。

3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。

后来 在一个blog上找到了专杀的工具，用起来不错 不过要反复点击很多次。

下载地址： Reper&System-killer

处理完还得更新一下注册表,要不会出现Windows无法打开,找不到reper.exe
注册表信息如下:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT/exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00

[HKEY_CLASSES_ROOT/exefile/DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT/exefile/shell]

[HKEY_CLASSES_ROOT/exefile/shell/open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT/exefile/shell/open/command]
@="/"%1/" %*"

[HKEY_CLASSES_ROOT/exefile/shell/runas]
"Extended"=""

[HKEY_CLASSES_ROOT/exefile/shell/runas/command]
@="/"%1/" %*"

[HKEY_CLASSES_ROOT/exefile/shellex]

[HKEY_CLASSES_ROOT/exefile/shellex/DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers]

[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers/PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers/{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

[HKEY_CLASSES_ROOT/txtfile/shell/open/command]
@="NOTEPAD.EXE %1"

最后注意事项:
如果做了以上两步再次运行还出现reper.exe那表明机器内病毒文件没有清除干净,需要将有些隐藏在RECYCLER下的相关文件彻底清除掉,基本上就没什么问题了.