粘粘糊糊的邮件蠕虫——“威尔佐夫”变种
临近元旦了。邮件蠕虫又开始兴风作浪了。
今天,搞到两个“威尔佐夫”的变种,看了看。还真有点儿“狗皮膏药”的味道——碰到哪儿粘到哪儿。
蠕虫的启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<wqpd32><C:\windows\wqpd32.exe s> [N/A]
<dmstphot><c:\windows\system32\dmstphot.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><UmxSbxExw.dll, aclekern.dll> [Computer Associates International, Inc.]
动态插入正在运行的进程:
[PID: 1096][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\aclekern.dll] [N/A, N/A]
[PID: 624][C:\Program Files\Tiny Firewall Pro\tralogan.exe] [Computer Associates International, Inc., 6.0.0.17]
[C:\windows\system32\aclekern.dll] [N/A, N/A]
[PID: 3048][C:\SREng\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\windows\system32\aclekern.dll] [N/A, N/A]
除此之外,运行IceSword后,发现aclekern.dll立即插入了IceSword进程中。
手工查杀流程:
1、用IceSword禁止进程创建。
2、用IceSword结束病毒进程:
C:\windows\wqpd32.exe
c:\windows\system32\dmstphot.exe
3、用IceSword强制删除C:\windows\system32\aclekern.dll。其它病毒文件(图1)可用IceSword删除,也可以通过“资源管理器”删除。
图1
