Virus.Win32.AutoRun.z(6to4ex.dll)病毒分析解决

文件名称：6to4ex.dll

文件大小：89600 字节

AV命名：

Virus.Win32.AutoRun.z（卡巴斯基）

Win32.Troj.Agent.ce.114688（金山）

Dropped:Backdoor.Hupigon.ZPW（BitDefender）

加壳方式：Naked Packer

编写语言：VC

文件MD5：528684975059444f58aca2d2a139404b

行为分析：

1、释放文件：

C:\WINDOWS\system32\6to4ex.dll 89600 字节

2、替换beep.sys驱动，并将原来的重命名：beep.sys.tmp

最后重新加载，恢复SSDT，绕过一部分主动防御和HIPS。

3、注册服务：

项名称:             HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

类别名:         <无类别>

值  0

  名称:            DisplayName

  类型:            REG_SZ

  数据:            6to4

值  1

  名称:            ImagePath

  类型:            REG_EXPAND_SZ

  数据:            %SystemRoot%\System32\svchost.exe -k netsvcs

值  2

  名称:            ObjectName

  类型:            REG_SZ

  数据:            LocalSystem

值  3

  名称:            ErrorControl

  类型:            REG_DWORD

  数据:            0x1

值  4

  名称:            Type

  类型:            REG_DWORD

  数据:            0x120

值  5

  名称:            Start

  类型:            REG_DWORD

  数据:            0x2

项名称:             HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters

类别名:         <无类别>

值  0

  名称:            ServiceDllUnloadOnStop

  类型:            REG_DWORD

  数据:            0x0

值  1

  名称:            ServiceDll

  类型:            REG_EXPAND_SZ

  数据:            C:\windows\system32\6to4ex.dll

4、6to4ex.dll注入svchost，可能借宿主与外部通信。

解决方法：

1、打开注册表（详细步骤：打开SREng－启动项目－注册表），删除服务：6to4

2、删除C:\WINDOWS\system32\drivers\beep.sys

这个是假冒呃，删除后系统会从dllcache自动恢复原本的系统文件。

3、重启计算机（如果出现蓝屏，则冷启动），删除文件：

C:\WINDOWS\system32\6to4ex.dll 89600 字节