|
|
馬上注冊����,結交更多好友��,享用更多功能����。
您需要 登錄 才可以下載或查看����,沒(méi)有帳號���?注冊
x
同名文件夾EXE病毒:
木馬名稱(chēng):Worm.Win32.AutoRun.soq(蠕蟲(chóng)類(lèi))
一�、病毒原理及相關(guān)分析
一臺電腦中毒后�,電腦里面會(huì )有一個(gè) XP-****.exe(其中****是一個(gè)大寫(xiě)字母與數字混合����,如XP-02B94AC1.exe)的類(lèi)似XP補丁的進(jìn)程以及D7F45.exe的類(lèi)似進(jìn)程����,同時(shí)建立D7F45.exe及一個(gè)文件夾的幾個(gè)啟動(dòng)項���,當你插入U盤(pán)后����,它會(huì )把原文件夾隱身�����,同時(shí)建立同名的EXE文件夾���,例如 軟件.exe 這樣的病毒文件夾�����,文件夾大小為1.44M����,不知道的人雙擊就會(huì )中毒�����。
病毒行為:
1����、病毒運行后會(huì )釋放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位隨機)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件����,而是漢語(yǔ)編程易語(yǔ)言的支持庫文件)到系統盤(pán)的\WINDOWS\system32里面
2���、新增以下注冊表項��,已達到病毒隨系統啟動(dòng)而自啟動(dòng)的目的��。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表值:XP-290F2C69(后8位隨機)
類(lèi)型:REG_SZ
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位隨機)
3���、添加以下啟動(dòng)項�����,實(shí)現病毒自啟動(dòng):
“C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”指向病毒文件��。
4�����、下載病毒文件: hxxp://df-123.cn/v.gif(16,896 字節)保存為以下文件��,并且運行它們:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE (名稱(chēng)隨機)
5���、被感染的電腦接入移動(dòng)磁盤(pán)后���,病毒會(huì )遍歷移動(dòng)磁盤(pán)根目錄下的文件夾�����,衍生自身到移動(dòng)磁盤(pán)根目錄下����,更名為檢測到的文件夾名稱(chēng)��,修改原文件夾屬性為隱藏�,使用戶(hù)在其他計算機使用移動(dòng)磁盤(pán)打開(kāi)其文件夾時(shí)運行病毒�����, 以達到病毒隨移動(dòng)磁盤(pán)傳播的目的�。
二����、解決方案
專(zhuān)殺清除方法:
下載瑞星等殺毒軟件���。(網(wǎng)上有免費正版的���,只不過(guò)好像只能使用半年左右)
手工清除方法:
1�、刪除病毒在System32生成的以下文件:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(隨機名)
2����、刪除病毒的啟動(dòng)項��,刪除以下啟動(dòng)項:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位隨機)�;
“C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”�����。
3����、手工刪除后綴為exe的文件,然后顯示被隱藏的文件夾����。點(diǎn)擊“開(kāi)始”---“運行”----輸入“cmd” �,進(jìn)入命令提示符��,然后進(jìn)入你U盤(pán)所在的根目錄��,具體操作如下����,比如你的U盤(pán)盤(pán)符位G���,那么就輸入“g:”在回車(chē)就可以了��。最后�����,輸入如下命令:attrib -r -a -s -h *.* /s /d��。
三��、安全建議
養成右鍵打開(kāi)U盤(pán)的習慣,或者是開(kāi)啟USBCleaner的Usbmon.exe保護程序��。 |
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
