baohe - 2009-5-28 11:39:00
此毒变种较多。不同变种的行为略有差异。共同点是:
1、释放一堆病毒dll、.fon文件到中招系统中。这些.dll和.fon狂插系统和应用程序进程。
2、释放一个病毒驱动到drivers目录下。
3、释放autorun.inf和一个配套的.exe到各分区根目录。
4、访问网络,下载大量病毒到中招系统中。
此外,某些变种监视IceSword、autoruns等手杀工具,并添加一堆IFEO劫持项,以此封 杀这些手杀工具以及常用杀软和防火墙。
今天观察了一个假“快播”中的此毒变种。样本:http://bbs.ikaka.com/showtopic-8628166.aspx
现将手杀流程罗列如下,供参考。
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
遇到IFEO劫持IceSword、autoruns等工具的变种时,可用第三方注册表编辑器去掉相关IFEO劫持项。注销、再登陆后就可以运行这些手杀工具了。
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
删除所有病毒文件后,清理注册表:
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
1、释放一堆病毒dll、.fon文件到中招系统中。这些.dll和.fon狂插系统和应用程序进程。
2、释放一个病毒驱动到drivers目录下。
3、释放autorun.inf和一个配套的.exe到各分区根目录。
4、访问网络,下载大量病毒到中招系统中。
此外,某些变种监视IceSword、autoruns等手杀工具,并添加一堆IFEO劫持项,以此封 杀这些手杀工具以及常用杀软和防火墙。
今天观察了一个假“快播”中的此毒变种。样本:http://bbs.ikaka.com/showtopic-8628166.aspx
现将手杀流程罗列如下,供参考。
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件遇到IFEO劫持IceSword、autoruns等工具的变种时,可用第三方注册表编辑器去掉相关IFEO劫持项。注销、再登陆后就可以运行这些手杀工具了。
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件删除所有病毒文件后,清理注册表:
附件: 您所在的用户组无法下载或查看附件用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1