|
|
馬上注冊�����,結交更多好友�,享用更多功能���。
您需要 登錄 才可以下載或查看���,沒(méi)有帳號�����?注冊
x
同名文件夾EXE病毒:
木馬名稱(chēng):Worm.Win32.AutoRun.soq(蠕蟲(chóng)類(lèi))
一�、病毒原理及相關(guān)分析
一臺電腦中毒后���,電腦里面會(huì )有一個(gè) XP-****.exe(其中****是一個(gè)大寫(xiě)字母與數字混合���,如XP-02B94AC1.exe)的類(lèi)似XP補丁的進(jìn)程以及D7F45.exe的類(lèi)似進(jìn)程�����,同時(shí)建立D7F45.exe及一個(gè)文件夾的幾個(gè)啟動(dòng)項���,當你插入U盤(pán)后�,它會(huì )把原文件夾隱身�,同時(shí)建立同名的EXE文件夾����,例如 軟件.exe 這樣的病毒文件夾�,文件夾大小為1.44M�,不知道的人雙擊就會(huì )中毒���。
病毒行為:
1�����、病毒運行后會(huì )釋放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位隨機)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件�����,而是漢語(yǔ)編程易語(yǔ)言的支持庫文件)到系統盤(pán)的\WINDOWS\system32里面
2�、新增以下注冊表項����,已達到病毒隨系統啟動(dòng)而自啟動(dòng)的目的��。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注冊表值:XP-290F2C69(后8位隨機)
類(lèi)型:REG_SZ
值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位隨機)
3�、添加以下啟動(dòng)項�����,實(shí)現病毒自啟動(dòng):
“C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”指向病毒文件��。
4����、下載病毒文件: hxxp://df-123.cn/v.gif(16,896 字節)保存為以下文件�,并且運行它們:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE (名稱(chēng)隨機)
5����、被感染的電腦接入移動(dòng)磁盤(pán)后�����,病毒會(huì )遍歷移動(dòng)磁盤(pán)根目錄下的文件夾���,衍生自身到移動(dòng)磁盤(pán)根目錄下���,更名為檢測到的文件夾名稱(chēng)���,修改原文件夾屬性為隱藏�,使用戶(hù)在其他計算機使用移動(dòng)磁盤(pán)打開(kāi)其文件夾時(shí)運行病毒�����, 以達到病毒隨移動(dòng)磁盤(pán)傳播的目的�����。
二���、解決方案
專(zhuān)殺清除方法:
下載瑞星等殺毒軟件�。(網(wǎng)上有免費正版的�����,只不過(guò)好像只能使用半年左右)
手工清除方法:
1�����、刪除病毒在System32生成的以下文件:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(隨機名)
2��、刪除病毒的啟動(dòng)項����,刪除以下啟動(dòng)項:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位隨機)�����;
“C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng)” 里的“ .lnk”���。
3�����、手工刪除后綴為exe的文件,然后顯示被隱藏的文件夾���。點(diǎn)擊“開(kāi)始”---“運行”----輸入“cmd” ���,進(jìn)入命令提示符��,然后進(jìn)入你U盤(pán)所在的根目錄���,具體操作如下���,比如你的U盤(pán)盤(pán)符位G��,那么就輸入“g:”在回車(chē)就可以了���。最后���,輸入如下命令:attrib -r -a -s -h *.* /s /d����。
三����、安全建議
養成右鍵打開(kāi)U盤(pán)的習慣,或者是開(kāi)啟USBCleaner的Usbmon.exe保護程序�。 |
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
