baohe - 2009-6-4 19:51:00
这是求助者发上来的病毒样本:http://bbs.ikaka.com/showtopic-8629745.aspx
病毒文件名为随机字母。
此毒为覆盖型感染病毒。他上传附件中的两个程序实为同一个病毒。
附件: 您所在的用户组无法下载或查看附件
运行后此毒除在WINDOWS目录下释放两个随机字母命名的相同的病毒程序外,还用同样的病毒程序覆盖Program Files目录下的所有.exe程序文件。中了此毒,所有应用程序恐怕要重装了。否则,要么是病毒永远杀不干净,要么你就别再用那些应用程序。(此外,IE临时文件夹中还有大量病毒程序)
附件: 您所在的用户组无法下载或查看附件
注册表也改的乱七八糟:kaka6:
[
附件: 您所在的用户组无法下载或查看附件
我这儿省事,点击一下Revert Changes,完事:kaka12:
这就是被病毒覆盖后经Revert Changes处理还原的acrobat.exe
附件: 您所在的用户组无法下载或查看附件
此毒可用组策略中的“软件限制策略”散列规则预防(设置一条散列规则即可。图1的散列规则是为对比两个病毒文件是否相同所设)
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
病毒文件名为随机字母。
此毒为覆盖型感染病毒。他上传附件中的两个程序实为同一个病毒。
附件: 您所在的用户组无法下载或查看附件运行后此毒除在WINDOWS目录下释放两个随机字母命名的相同的病毒程序外,还用同样的病毒程序覆盖Program Files目录下的所有.exe程序文件。中了此毒,所有应用程序恐怕要重装了。否则,要么是病毒永远杀不干净,要么你就别再用那些应用程序。(此外,IE临时文件夹中还有大量病毒程序)
附件: 您所在的用户组无法下载或查看附件注册表也改的乱七八糟:kaka6:
[
附件: 您所在的用户组无法下载或查看附件我这儿省事,点击一下Revert Changes,完事:kaka12:
这就是被病毒覆盖后经Revert Changes处理还原的acrobat.exe
附件: 您所在的用户组无法下载或查看附件此毒可用组策略中的“软件限制策略”散列规则预防(设置一条散列规则即可。图1的散列规则是为对比两个病毒文件是否相同所设)
附件: 您所在的用户组无法下载或查看附件用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1