文件名稱：gg.exe


文件大?。?5607 byte


AV命名：


Worm.Win32.AutoRun.wp  卡巴斯基

Worm.Delf.65607  金山毒霸

Win32.HLLW.Autoruner.548   Dr.WEB


加殼方式：未


編寫語言：Microsoft Visual C++ 6.0


文件MD5：33d493af096ef2fa6e1885a08ab201e6


行為分析：


1、  釋放病毒文件：


C:\WINDOWS\gg.exe  65607 字節(jié)


2、  添加啟動項：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 (注冊表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"


3、  查找可用磁盤，生成：autorun.inf和gg.exe，實現(xiàn)U盤感染。


4、  連接121.206.1.2××下載木馬，不過未實現(xiàn)。


5、  直接獲取系統(tǒng)內(nèi)存，隱藏自身，防止被結(jié)束。


解決方法：


1、  下載冰刃和SREng(均可到down.45it.com下載)。

2、  打開冰刃，結(jié)束病毒進(jìn)程。（gg.exe）

3、  打開SREng，刪除啟動項：


(注冊表值) ctfmon.exe，指向的C:\windows\gg.exe。


注意不要刪除錯了。

4、  刪除病毒文件：


C:\WINDOWS\gg.exe  65607 字節(jié)


5、  用winrar刪除磁盤底下的文件，注意不要雙擊進(jìn)入磁盤，不要病毒又復(fù)活了。


6、若無法清除，請把病毒樣本發(fā)送至526170722@qq.com

最新評論