baohe - 2005-11-14 9:01:00
一、感染系统过程:
1、创建文件:
在系统文件夹%system%中创建木马文件mssystem.exe和mssystem.dll。
2、插入进程:病毒样本(.rar文件)解压运行后,木马插入WINRAR.exe、explorer.exe、svchost.exe进程。
3、注册表改动:
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加wmi_Server
在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services分支添加wmi_Server
二、查杀方法(用IceSword):
1、用IceSword禁止进程创建。
2、结束WINRAR.exe、explorer.exe以及IceSword进程监视面板中显示为红色的svchost.exe进程。
3、删除%system%中的木马文件mssystem.exe和mssystem.dll。
4、清理注册表:
删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支中的注册表项wmi_Server;
删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services分支中的注册表项wmi_Server。
© 2000 - 2025 Rising Corp. Ltd.