3721病毒杀除方法详解

近日接到内网用户来报，在上到某些站点的时候，会被提示安装一个叫3721中文实名的插件，部分用户在不知情的情况下误点“安装”选项，导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员，但是对Windows操作系统的确使用得不多，从来也没有用过这个名为3721的插件，但看到用户们焦急地神情，于是答应尽力而为。经过几番努力，终于将其斩于马下。 以下是杀除该病毒得经历及病毒解决方案。

天缘使用一台windowsxp机器，访问用户提供的站点，下载并执行了该插件。该插件为中文，自动安装后重新启动机器后生效，并自带卸载功能。通过安装/卸载前后的对比观察，其驻留性、自身保护性及对系统性能的大量损耗，让天缘确定了该插件确是病毒无疑！

病毒发作现象：

自动将浏览器的“搜索”功能重定向到一个叫www。3721。com的网站，该站点为中文站，且无法修改；

强行在用户ie上添加“情景聊天”、“上网加速”等几个图标；

不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；

每次启机加载，并自带进程保护功能，在正常地windows启动下难以杀除；

带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；

病毒自身特点：

自带卸载功能；该病毒为达到隐藏自身目的，麻痹下载插件用户的目的，提供了卸载程序。但根据天缘的使用情况发现，在卸载后，该病毒程序依然驻留，启动时仍然加载，依然监视、改写注册表；

采用网络升级方式；该病毒为了防止用户以及杀毒软件的杀除，采取定期网上升级的方式，这点与近期的其他Windows主流病毒类似，但值得一提的是该病毒建有公开的病毒升级站点www。3721。com，且站点风格酷似门户、服务类站点，具有极大的欺骗性；

以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀（详细技术讨论见后）；

提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁，看来新的病毒越来越多地喜欢提供一些另类功能了；

被动方式传播：利用一些站点来进行传播，而不是主动感染其他机器，这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动，可说是今年一些病毒的新特点。

病毒详细分析：

当用户访问站点的时候，弹出一个控件下载窗口提示用户下载安装，表面上称自己是提供中文实名服务，引诱用户安装；

在安装过程中多处修改用户文件及注册表；

添加文件：

在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加：

了解网络实名详细信息。url 86 字节

清理上网记录。url 100 字节

上网助手。url 99 字节

卸载网络实名。lnk 1，373 字节

修复浏览器。url 103 字节

在WINDOWSDownloaded Program Files 下添加：

assis.ico 5，734 字节

cns02.dat 1，652 字节

CnsHook.dll 56，320 字节

CnsMin.cab 116，520 字节

CnsMin.dll 179，712 字节

CnsMin.inf 378 字节

sms.ico" 6，526 字节

yahoomsg.ico 5，734 字节

在WINDOWSSystem32Drivers 目录下添加：

CnsminKP.sys

添加注册表键值：

增加HKEY_LOCAL_MACHINESOFTWARE3721 主键，下设多子键及属性值；

在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加

两个子键

在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加

CnsHelper.CH

CnsHelper.CH.1

CnsMinHK.CnsHook

CnsMinHK.CnsHook.1四个子键

在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键

在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加！CNS子键

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加

五个子键

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加

CustomizeSearch

OcustomizeSearch

SearchAssistant

OsearchAssistant 四个子键

在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键

在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键

在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键 （提示，这个键将在下次启动机器的时候生效，产生最令人头疼的部分，后文会叙述）

在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键

在HKEY_CURRENT_USERSoftware下增加3721子键

在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加

CNSAutoUpdate

CNSEnable

CNSHint

CNSList

CNSMenu

CNSReset

在重新启动计算机后，上面提到的RunOnce下的EK_Entry生效，在注册表中多处生成最为邪恶的CnsMinKP键值，同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件，噩梦由此开始。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有