recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查殺方法
更新時(shí)間:2007年09月28日 21:04:39 作者:
一、病毒描述:
病毒通過U盤傳播,運(yùn)行后復(fù)制自身到系統(tǒng)目錄并釋放一個(gè)灰鴿子木馬。為增強(qiáng)隱蔽性,生成的病毒文件有回收站和安
裝程序兩種圖標(biāo)?! ?nbsp;
二、病毒基本情況:
病毒名稱:Trojan-Dropper.Win32.VB.rj
病毒別名:無
病毒類型:病毒
危害級(jí)別:3
感染平臺(tái):Windows
病毒大?。?58,752(字節(jié))
SHA1 ?。篵86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加殼類型:無
開發(fā)工具:Microsoft Visual Basic 5.0 / 6.0
三、病毒行為:
1、病毒運(yùn)行后會(huì)生成以下文件:
%windir%\svchost.exe (458752 字節(jié),回收站圖標(biāo))
%windir%\ravfree.exe (307640 字節(jié),安裝程序圖標(biāo),灰鴿子木馬)
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe (307640 字節(jié),安裝程序圖
標(biāo),灰鴿子木馬)
%windir%\system32\_servieces.exe (307640 字節(jié),安裝程序圖標(biāo),灰鴿子木馬)
2、修改注冊表添加一個(gè)啟動(dòng)項(xiàng):
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%\svchost.exe
3、為灰鴿子木馬添加一個(gè)服務(wù):
服務(wù)名稱:system starmize
顯示名稱:system starmize
描述:系統(tǒng)自帶啟動(dòng)優(yōu)化
可執(zhí)行文件路徑:%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
啟動(dòng)類型:自動(dòng)
4、修改系統(tǒng)時(shí)間。通過執(zhí)行cmd.exe /c date 1980-01-01命令,將系統(tǒng)時(shí)間修改為1980年。
5、監(jiān)視U盤等移動(dòng)設(shè)備,拷貝自身到U盤里面并命名為recycle.exe,寫入autorun.inf,以達(dá)到隨U盤傳播的目的。
6、病毒釋放的灰鴿木馬會(huì)連接http://sx.yixiti.net.ru/i/i.txt下載i.txt文件,根據(jù)i.txt文件中的內(nèi)容連接黑客
并接受其控制。
7、監(jiān)視自身文件及啟動(dòng)項(xiàng),防止被刪除。
四、解決方案:
1、刪除注冊表內(nèi)的啟動(dòng)項(xiàng)。修改注冊表刪除病毒啟動(dòng)項(xiàng),刪除鍵值內(nèi)的%windir%\svchost.exe:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%\svchost.exe
2、重啟計(jì)算機(jī),進(jìn)入安全模式。
3、刪除病毒文件。刪除以下文件:
%windir%\svchost.exe
%windir%\ravfree.exe
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
%windir%\system32\_servieces.exe
4、刪除病毒添加的服務(wù)。打開超級(jí)巡警,使用服務(wù)管理功能刪除名為system starmize的服務(wù)。
5、修正系統(tǒng)時(shí)間。
五、對預(yù)防此病毒的建議:
由于此病毒是通過U盤傳播的,所以建議使用超級(jí)巡警的U盤免疫對U盤進(jìn)行免疫,并且廢除系統(tǒng)的自動(dòng)運(yùn)行功能。在
將U盤插入到電腦時(shí)要對U盤進(jìn)行殺毒,然后再使用。
病毒通過U盤傳播,運(yùn)行后復(fù)制自身到系統(tǒng)目錄并釋放一個(gè)灰鴿子木馬。為增強(qiáng)隱蔽性,生成的病毒文件有回收站和安
裝程序兩種圖標(biāo)?! ?nbsp;
二、病毒基本情況:
病毒名稱:Trojan-Dropper.Win32.VB.rj
病毒別名:無
病毒類型:病毒
危害級(jí)別:3
感染平臺(tái):Windows
病毒大?。?58,752(字節(jié))
SHA1 ?。篵86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加殼類型:無
開發(fā)工具:Microsoft Visual Basic 5.0 / 6.0
三、病毒行為:
1、病毒運(yùn)行后會(huì)生成以下文件:
%windir%\svchost.exe (458752 字節(jié),回收站圖標(biāo))
%windir%\ravfree.exe (307640 字節(jié),安裝程序圖標(biāo),灰鴿子木馬)
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe (307640 字節(jié),安裝程序圖
標(biāo),灰鴿子木馬)
%windir%\system32\_servieces.exe (307640 字節(jié),安裝程序圖標(biāo),灰鴿子木馬)
2、修改注冊表添加一個(gè)啟動(dòng)項(xiàng):
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%\svchost.exe
3、為灰鴿子木馬添加一個(gè)服務(wù):
服務(wù)名稱:system starmize
顯示名稱:system starmize
描述:系統(tǒng)自帶啟動(dòng)優(yōu)化
可執(zhí)行文件路徑:%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
啟動(dòng)類型:自動(dòng)
4、修改系統(tǒng)時(shí)間。通過執(zhí)行cmd.exe /c date 1980-01-01命令,將系統(tǒng)時(shí)間修改為1980年。
5、監(jiān)視U盤等移動(dòng)設(shè)備,拷貝自身到U盤里面并命名為recycle.exe,寫入autorun.inf,以達(dá)到隨U盤傳播的目的。
6、病毒釋放的灰鴿木馬會(huì)連接http://sx.yixiti.net.ru/i/i.txt下載i.txt文件,根據(jù)i.txt文件中的內(nèi)容連接黑客
并接受其控制。
7、監(jiān)視自身文件及啟動(dòng)項(xiàng),防止被刪除。
四、解決方案:
1、刪除注冊表內(nèi)的啟動(dòng)項(xiàng)。修改注冊表刪除病毒啟動(dòng)項(xiàng),刪除鍵值內(nèi)的%windir%\svchost.exe:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%\svchost.exe
2、重啟計(jì)算機(jī),進(jìn)入安全模式。
3、刪除病毒文件。刪除以下文件:
%windir%\svchost.exe
%windir%\ravfree.exe
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
%windir%\system32\_servieces.exe
4、刪除病毒添加的服務(wù)。打開超級(jí)巡警,使用服務(wù)管理功能刪除名為system starmize的服務(wù)。
5、修正系統(tǒng)時(shí)間。
五、對預(yù)防此病毒的建議:
由于此病毒是通過U盤傳播的,所以建議使用超級(jí)巡警的U盤免疫對U盤進(jìn)行免疫,并且廢除系統(tǒng)的自動(dòng)運(yùn)行功能。在
將U盤插入到電腦時(shí)要對U盤進(jìn)行殺毒,然后再使用。
您可能感興趣的文章:
- python使用win32com在百度空間插入html元素示例
- win32使用openfilename瀏覽文件窗口示例
- python字符串加密解密的三種方法分享(base64 win32com)
- 如何使一個(gè)HTA位于屏幕中心(Win32_DesktopMonitor)
- c#用Treeview實(shí)現(xiàn)FolderBrowerDialog 和動(dòng)態(tài)獲取系統(tǒng)圖標(biāo)(運(yùn)用了Win32 dll類庫)
- WMI中的Win32_PingStatus類(ping命令實(shí)現(xiàn))
- nginx win32 版本靜態(tài)文件測試 (Windows環(huán)境)
- win32安裝配置非安裝版的MySQL
- iis Win32狀態(tài)數(shù)值(sc-win32-status)說明
- PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
- Worm.Win32.AutoRun.bqn病毒分析解決
- inst.exe,Setup.exe木馬Trojan-PSW.Win32.Magania.cjy解決方法
- Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查殺
- 木馬程序Trojan-Spy.Win32.Agent.cfu清除方法
- MSN圣誕照片(Backdoor.Win32.PBot.a)病毒分析解決
- 木馬下載器Win32.TrojDownloader.Delf.114688
- Backdoor.Win32.IRCBot.afm(video.exe)病毒的處理方法
- win32 api實(shí)現(xiàn)簡單的消息窗口示例
相關(guān)文章
手動(dòng)清除AV終結(jié)者的方法與相關(guān)軟件
手動(dòng)清除AV終結(jié)者的方法與相關(guān)軟件...2007-06-06對于最近出現(xiàn)的Death.exe病毒及其變種的手工查殺辦法不用專殺工具
對于最近出現(xiàn)的Death.exe病毒及其變種的手工查殺辦法不用專殺工具...2007-11-11msnet.sys、jet300.dll的簡單分析與清除辦法
msnet.sys、jet300.dll的簡單分析與清除辦法...2007-02-02關(guān)于近來網(wǎng)上大量泛濫的灰鴿子病毒(Huigezi、Gpigeon)介紹和查殺大全附專殺工具
關(guān)于近來網(wǎng)上大量泛濫的灰鴿子病毒(Huigezi、Gpigeon)介紹和查殺大全附專殺工具...2007-03-03用批處理實(shí)現(xiàn)Auto病毒專殺工具的代碼
用批處理實(shí)現(xiàn)Auto病毒專殺工具的代碼...2007-05-05殺MSNS使網(wǎng)絡(luò)癱瘓的病毒msns專殺工具下載
提供的Msns專殺工具 使用簡單 執(zhí)行里面的msns.bat批處理文件即可!要執(zhí)行兩次2008-07-07