drvanti.exe_运行错误explorer.exe_svchost.exe占网速

7月26日凌晨官方客服接到用户反馈发现新型病毒，还原被穿透，问题反馈的网吧并持上升态势，立即引起新浩艺网维团队领导的高度重视，随即将此次事件列入“1号紧急处理案”；

在接到通知的“病毒安全防护小组”立即对此病毒进行取样和剖析，在完成了10家以上网吧的病毒取样和分析，确定此次病毒具有很强的针对性，通过注入explorer.exe，获取系统控制权并调用网吧安全软件驱动函数，破坏网吧安全防护软件，来实施穿透目的，进行盗取网吧用户的上网帐号；

在此期间，陆续接到同行们的反馈也都表示受到了相同程度的破坏，使得“病毒安全防护小组”的同事们感受到自己身上责任重大，大家通宵达旦针对病毒进行分析和应对方案处理，截止7月27日凌晨9点奋战了24小时的“英雄”们终于给出了应对方案和处理方法，目前补丁已经经过公司内部测试，以及10多家网吧测试

新型病毒处理里程碑事件：

1、7月26日11时，接到用户反馈和第一个用户样本提取

2、7月26日14时，完成病毒库的更新，将此次病毒所带进程和相关文件加入黑名单并下发

3、7月26日22时，完成10家病毒网吧的取样

4、7月27日凌晨4时，完成新型病毒的原理分析

5、7月27日上午8时，完成新型病毒的处理方案的指定

6、7月27日下午13时，完成新型病毒防御的开发

7、7月27日下午15时，完成新型病毒防御的内部测试

8、7月27日晚上20时，完成新新型病毒的外部测试

9、截止目前位置已知的病毒程序已经更新病毒库进行防御，建议升级补丁完全杜绝新型病毒

下载地址：

文件大小：7.25 Mb

文件MD5:a30c0c624152ae01479dd8a6585fb4

病毒的现象：

1、任务管理器中会随机出现命名杂乱的EXE执行程序，或在C:\Program Files\Internet Explorer下创建my_705file.exe，skype.exe，my_xcode.exe病毒文件。drvanti.exe

2、客户机因为资源占用高导致机器出现爆卡的现象

3、感染的程序有Explorer.exe、cmd.exe、svchost.exe…

4、因为病毒会感染MBR，如果存在中毒的用户，请先修复MBR后在恢复操作系统

研究分析:

根据以下代码分析，此次病毒具有很强的针对性，是有一个组织或团队专门针对网吧市场进行破坏

(病毒中含有随机以数字命名的驱动程序，有应用程序。用多种方式加壳过。病毒采用常用的方式注入到系统以及安全的进程，然后再卸载安全软件的驱动。病毒先后注入了资源管理器、IE和安全软件的可信进程)

病毒代码：

===============================================================================

int __usercall sub_401702<eax>(int a1<ebx>)

{

int result; // eax@3

int v2; // [sp-4h] [bp-Ch]@2

if ( !lstrcmpiA((LPCSTR)(a1 + 36), "360tray.exe") )

{

dword_40653C |= 1u;

v2 = 1;

LABEL_18:

result = sub_401DF0(*(_DWORD *)(a1 + 8), v2);

goto LABEL_19;

}

result = lstrcmpiA((LPCSTR)(a1 + 36), "explorer.exe");

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-22435-1.html