病毒名稱:Trojan.Delf.rsd <瑞星><MACFEE.卡巴不報(bào)> 
MD5   216a3783443fc9c46fe4d32aa13c390f   


運(yùn)行后病毒樣本,自動(dòng)復(fù)制副本到%SYSTEMroot%目錄下 
 %SYSTEMroot%\flashplay.dll 
%SYSTEMroot%\ge_1237.exe 
X:\flashplay.dll 
X:\readme.txt.exe 
X:\autorun.inf 
X指非系統(tǒng)盤符 
%systemroot%是環(huán)境變量，  

autorun.inf里面的內(nèi)容: 
[autorun] 
open=.\readme.txt.exe 
shell\1=Open 
shell\1\Command=.\readme.txt.exe 
shell\2\=Browser 
shell\2\Command=.\readme.txt.exe 
shellexecute=.\readme.txt.exe 
[autorun] 
open=.\readme.txt.exe 
shell\1=Open 
shell\1\Command=.\readme.txt.exe 
shell\2\=Browser 
shell\2\Command=.\readme.txt.exe 
shellexecute=.\readme.txt.exe 


運(yùn)行IE,%SYSTEMroot%\ge_1237.exe連接網(wǎng)絡(luò): 
IP地址:125.91.104.177        端口為:80 
IP地址:59.45.180.5            端口為:37 
IP地址:221.238.249.18          端口為:80 



關(guān)于彈出免費(fèi)點(diǎn)歌,指向網(wǎng)址:http://img2.uiuni.com/ivr/all/index.html?uid=2722 


解決方法: 

1.運(yùn)行ICESWORD---設(shè)置---禁止進(jìn)線程創(chuàng)建---強(qiáng)制卸載被插入到explorer.exe進(jìn)程及iexplore.exe進(jìn)程的  C:\WINDOWS\system32\flashplay.dll  


附sreng日志: 

Code: 
[PID: 4916][C:\WINDOWS\explorer.exe]  
         [C:\WINDOWS\system32\flashplay.dll]   
[PID: 1508][C:\Program Files\Internet Explorer\iexplore.exe]  
          [C:\WINDOWS\system32\flashplay.dll]  



2.使用ICESWORD---文件---刪除: 


%SYSTEMroot%\flashplay.dll 
%SYSTEMroot%\ge_1237.exe 
刪除非系統(tǒng)盤符下 
X:\flashplay.dll 
X:\readme.txt.exe 
X:\autorun.inf 
注意事項(xiàng):

在使用ICESWORD刪除非系統(tǒng)盤符下X:\readme.txt.exe的時(shí)候,會(huì)自動(dòng)中止桌面進(jìn)程,刪除完成后,取消禁止進(jìn)線程創(chuàng)建,使用:ctrl+ait+del調(diào)出任務(wù)管理器,選擇文件--新建任務(wù)--調(diào)出桌面進(jìn)程:explorer.exe

最新評(píng)論