baohe - 2010-9-19 9:05:00
这是一个名为“中国古代测字秘传心法秘籍2010整合版”的假PDF文件中捆绑的病毒。此毒在WIN7系统中无法运行。这个“中国古代测字秘传心法秘籍2010整合版”的图标为PDF文件图标,其后缀则为.exe。
1、病毒完全运行后,重启系统。用Tiny可见到如下场景:
进程列表中可见两个病毒进程:
下图是双击“中国古代测字秘传心法秘籍2010整合版”后,注册表中ini文件关联项HKCR\.ini 的键值被篡改的截图(此键值正常为inifile)。
2、此毒释放的病毒文件:
c:\Documents and Settings\system.exe
c:\Program Files\Common Files\system.exe
c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\desktop.ini(其MD5值与system.exe完全相同)
c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\修复360安全卫士.url(指向c:\Documents and Settings\system.exe)。
3、系统每次启动,此毒在C:\windows\目录下释放一个随机名的.bat,并即刻执行。执行后,删除此.bat。此.bat的功能是重写病毒文件c:\Documents and Settings\system.exe和c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\desktop.ini;重写注册表HKCR\.ini 的键值。
收拾它,也比较容易:
1、用工具禁止%windows%目录下的.bat运行。
2、将注册表HKCR\.ini 的键值改回inifile
3、重启。病毒出丑了:
4、删除病毒文件即可。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61
1、病毒完全运行后,重启系统。用Tiny可见到如下场景:
进程列表中可见两个病毒进程:
下图是双击“中国古代测字秘传心法秘籍2010整合版”后,注册表中ini文件关联项HKCR\.ini 的键值被篡改的截图(此键值正常为inifile)。
2、此毒释放的病毒文件:
c:\Documents and Settings\system.exe
c:\Program Files\Common Files\system.exe
c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\desktop.ini(其MD5值与system.exe完全相同)
c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\修复360安全卫士.url(指向c:\Documents and Settings\system.exe)。
3、系统每次启动,此毒在C:\windows\目录下释放一个随机名的.bat,并即刻执行。执行后,删除此.bat。此.bat的功能是重写病毒文件c:\Documents and Settings\system.exe和c:\Documents and Settings\All Users\「开始」菜单\程序\Startup\desktop.ini;重写注册表HKCR\.ini 的键值。
收拾它,也比较容易:
1、用工具禁止%windows%目录下的.bat运行。
2、将注册表HKCR\.ini 的键值改回inifile
3、重启。病毒出丑了:
4、删除病毒文件即可。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.61