Cómo eliminar 3721
Recientemente, he recibido informes de usuarios de intranet que al visitar ciertos sitios, se les pedirá que instalen un complemento llamado 3721 Chinese Real Name. Algunos usuarios hacen clic por error en la opción "Instalar" sin saberlo. it , lo que hace que el virus resida en el disco duro y resulte difícil eliminarlo. Aunque Tianyuan es administrador de red, no usa mucho el sistema operativo Windows. Nunca ha usado este complemento llamado 3721, pero al ver las expresiones ansiosas de los usuarios, aceptó hacer lo mejor que pudo. Después de varios esfuerzos, finalmente fue asesinado.
La siguiente es la experiencia de matar el virus y la solución del virus.
Tianyuan utilizó una máquina con Windows XP, visitó el sitio proporcionado por el usuario, descargó y ejecutó el complemento. El complemento está en chino, entrará en vigor después de que la máquina se reinicie después de la instalación automática y tiene su propia función de desinstalación. A través de una observación comparativa antes y después de la instalación/desinstalación, su persistencia, autoprotección y gran pérdida de rendimiento del sistema permitieron a Tianyuan confirmar que el complemento era efectivamente un virus.
Fenómeno de ataque de virus:
La función de "búsqueda" del navegador se redirige automáticamente a un sitio web llamado www.3721.com, que es un sitio web chino y no se puede modificar <; /p>
Agregue a la fuerza varios íconos como "Chat situacional" y "Aceleración de Internet" en el IE del usuario.
Actualice continuamente los valores clave relevantes del registro para lograr una residencia exitosa; y gran consumo El propósito de los recursos del host del usuario
Se carga cada vez que se inicia la computadora y tiene su propia función de protección de procesos, que es difícil de eliminar durante el inicio normal de Windows
<; p>5. Con la función de actualización automática, cada vez que un usuario navega por Internet y utiliza IE, el virus realizará una actualización en segundo plano.Características del virus:
; tiene su propia función de desinstalación; para ocultarse, el virus paraliza a los usuarios que descargan complementos. Para ello se proporciona un desinstalador. Sin embargo, según el uso de Tianyuan, se descubrió que después de la desinstalación, el programa de virus aún reside, aún se carga al inicio y aún monitorea y reescribe el registro.
Usando este método de actualización de red; Esto es para evitar que los usuarios y el software antivirus se eliminen mediante actualizaciones periódicas en línea, lo cual es similar a otros virus populares recientes de Windows. Sin embargo, vale la pena mencionar que este virus tiene un sitio público de actualización de virus www.3721.com, y el estilo del sitio es similar a un portal, sitios de servicios, que son extremadamente engañosos;
Se puede decir que esta característica es un salto tecnológico en la escritura de virus en los últimos tiempos, utilizando el modo de controlador. cargar y enganchar, es extremadamente difícil de detectar y eliminar en Windows (consulte la discusión técnica detallada más adelante
Proporciona un servicio de búsqueda que le permite ingresar chino en la barra de direcciones del navegador y luego ir a). su sitio web para consultas de palabras clave. Hace algún tiempo, el virus Shockwave Nemesis también conectó automáticamente la máquina del usuario a update.Microsoft.com para descargar parches después de infectar la máquina del usuario. Parece que los nuevos virus ofrecen cada vez más algunas funciones alternativas.
Propagación pasiva: utilizar algunos sitios para propagarse en lugar de infectar activamente otras máquinas. Esto es similar al popular virus actual "belleza".
Se puede decir que el cambio de activo a pasivo es una nueva característica de algunos virus este año.
Análisis de virus detallado:
Cuando el usuario visita el sitio, aparece una ventana de descarga de control; para solicitar al usuario que lo descargue e instale En la superficie, afirma proporcionar servicios de nombre real chinos para atraer a los usuarios a instalar
Modificar los archivos y el registro del usuario en muchos lugares durante el proceso de instalación; p>
Agregar archivos:
Agregar Documentos y configuraciones\Todos los usuarios\Menú "Inicio"\Programas\Nombre real de la red\directorio
Obtenga más información sobre el nombre real de la red. url 86 bytes
Limpiar registros de acceso a Internet url 100 bytes
Asistente de Internet.url 99 bytes
Desinstalar red nombre real.lnk 1,373 bytes
Reparar browser.url 103 bytes
p>Agregar en WINDOWS\Archivos de programa descargados\
assis.ico 5734 bytes
cns02.dat 1652 bytes
CnsHook.dll 56.320 bytes
CnsMin.cab 116.520 bytes
CnsMin.dll 179.712 bytes
CnsMin.inf 378 bytes p>
sms .ico" 6,526 bytes
yahoomsg.ico 5,734 bytes
Agregue CnsminKP.sys en el directorio WINDOWS\System32\Drivers\
CnsminKP.sys
Agregar valor de clave de registro:
Agregar clave principal HKEY_LOCAL_MACHINE\SOFTWARE\3721, con múltiples subclaves y valores de atributos
Bajo HKEY_LOCAL_MACHINE\SOFTWARE; \Classes\CLSID clave primaria agregada
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
Dos subclaves
3. Agregar
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
p>
CnsMinHK.CnsHook.1
Cuatro subclaves
4. Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\primary key
{1BB0ABBE -2D95-4847-B9D8-6F90DE3714C1} subclave
5. Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\primary key
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
Agregue el subtítulo !CNS en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\primary key
Clave
Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ clave principal
{00000
000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} cinco subclaves
En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Add
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant cuatro subclaves
en Explorer\Search\primary key
p>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\Agregado bajo la clave principal
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} subclave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Agregado en Windows\CurrentVersion\Run\
Subclave CnsMin
Agregado en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
Subclave EK_Entry (Consejo, esta clave entrará en vigor la próxima vez que inicie la máquina, causando la parte más problemática, que se describirá más adelante)
Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Desinstalar\
Subclave CnsMin
Agregada en HKEY_CURRENT_USER\Software\
Subclave 3721
Agregada en HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer \Principal\
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
CNSReset
p>
Después de reiniciar la computadora, el EK_Entry en RunOnce mencionado anteriormente entra en vigor y el valor de clave CnsMinKP más malvado se genera en muchos lugares del registro. , y CnsMinKP se genera en el directorio windows/system32/drivers del archivo sys del disco del sistema, aquí es donde comienza la pesadilla.
Dado que win2k/xp ejecutará automáticamente todos los controladores en Windows/system32/drivers de forma predeterminada al iniciar (incluido el modo seguro), se carga CnsMinKP.sys y una de las funciones de este controlador es: es garantizar que Cnshook.dll y CnsMin.dll en el directorio Windows/Archivos de programa descargados no se eliminen ellos mismos. La función de Cnshook.dll es proporcionar la función de nombre real chino, y la función de Cnshook.dll es proporcionar la función de nombre real chino. hacer que resida en el proceso ie cuando.
Para garantizar que tenga la máxima prioridad, CnsMin utilizó una función de temporizador para instalar ganchos repetidamente, lo que provocó una disminución en el rendimiento del sistema. En la máquina probada por Tianyuan, el rendimiento cayó aproximadamente un 20%. Además, debido al enganche forzado, cuando los usuarios utilizan puntos de interrupción para depurar el programa, se producirán errores frecuentes. Esto es similar a la versión anterior de cih que provocaba el funcionamiento de winzip y no se apagaba (para obtener detalles técnicos detallados, consulte el. título " [Reimpreso] El artículo "Un estudio simple sobre el mecanismo de residencia 3721", la dirección es el artículo /20020711/1620049.shtml). Para aquellos de ustedes que no tienen una unidad de disquete como Tianyuan, no olviden que se ha agregado arranque a win2k/xp. No se trata solo de seleccionar un sistema operativo, sino que, como lilo y grub en Linux, es un. administrador de arranque del sistema operativo - cambio En otras palabras, si podemos construir un sistema operativo que pueda leer y escribir NTFS en el disco duro, y luego usar el arranque para arrancar, ¿no sería posible operar la unidad c sin una unidad de disquete? ? Busque el software vFloppy.exe en Internet. Viene con un archivo de imagen que admite lectura y escritura ntfs. Es fácil de usar y muy infalible (consulte el artículo /SoftChannel/72350068425883648/20040226/1771849.shtml). Por cierto, se menciona la nueva versión yFloppy ya viene con archivos img que admiten lectura y escritura ntfs). Luego elimine los archivos relacionados de 3721, limpie el registro y elimine los archivos relacionados después de reiniciar.
¡En este punto, finalmente expulsamos al fantasma persistente 3721 de nuestro disco duro! !
Debido a varias razones, muchos sitios web mostrarán la ventana de descarga 3721 al mostrar la página, lo que facilitará hacer clic incorrectamente. Este sitio y cualquier otra descarga maliciosa se pueden bloquear en IE. El método específico se puede encontrar (artículo/20030416/1663721.shtml).
En el momento de la publicación, Tianyuan sabe que muchos administradores de redes pares han bloqueado la dirección en la puerta de enlace para evitar que usuarios inocentes sufran daños. Queda un largo camino por recorrer en materia de seguridad de la red y depende de los esfuerzos de todos para erradicar algunas manzanas podridas.