病毒信息：
遍歷磁盤類型
附加信息：C:
行為描述：提升權限
附加信息：”SeDebugPrivilege”
行為描述：查找指定進程
附加信息：comine.exe
行為描述：在系統(tǒng)敏感位置（如開始菜單等)釋放鏈接或快捷方式
附加信息：桌面 >> 方便導航.lnk >> %ProgramFiles%\Internet Explorer\IEXPLORE.EXE args:http://dh499qi3322.org
行為描述：創(chuàng)建進程
附加信息：%ProgramFiles%\Windows Media Player\comine.exe

%windir%\WinUpdate.exe
%system%\cmd.exe
%system%\ping.exe
行為描述：添加開機自啟動項
附加信息：[Windows] – %ProgramFiles%\Windows Media Player\comine.exe
[Windows] : %ProgramFiles%\Windows Media Player\comine.exe
行為描述：創(chuàng)建互斥體
附加信息：”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE”

“C:?WINDOWS?WINUPDATE.EXE”
“OleDfRoot0000D80E5″
“OleDfRoot0000D9795″
“ShellCopyEngineFinished”
“ShellCopyEngineRunning”
行為描述：隱藏指定窗口
附加信息：ThunderRT6FormDC : [WinUpdate.exe]

ThunderRT6FormDC : [comine.exe]
ThunderRT6Main : [WinUpdate.exe]
ThunderRT6Main : [comine.exe]

行為描述：查找文件
附加信息：”C:\Documents and Settings”
“C:\Documents and Settings\Administrator”
“%USERPROFILE%\WinUpdate.exe”
“%USERPROFILE%\ping”
“%USERPROFILE%\ping.*”
“%USERPROFILE%\桌面\方便導航.lnk”
“%system%\ping.*”
“%system%\ping.COM”
“%system%\ping.EXE”

這是托馬斯說的，具體我也不知道耶。但是我們讓alien共享群里之后，下載下來，在虛擬機運行，的卻挺流氓的額。
表示咱們開始防御。

剛開始，我打開文件之后，發(fā)現(xiàn)沒什么反應的，但是我到本地磁盤C里 面 發(fā)現(xiàn)，這種病毒出現(xiàn)了。
我刪除，拒絕訪問，么辦法，在群里看到alien的截圖，在進程里面有這個程序的相關進程，好的，既然這樣，我打開進程，結束了相關的進程。
ok，刪除成功！

我以為，這就可以了 ，截圖到群里，可結果alien 說，重啟之后，又出現(xiàn)了，我試了試，還真的出現(xiàn)了耶。
這時，我就想到了，咱們防止U盤病毒的方法，在相應的目錄建立相同名稱的文件或者文件夾。。好的，咱們試試，建立文件開機重啟。
郁悶的是，果真如alien所說的那樣。本來O字節(jié)的文件，變成了34K的了，郁悶了 ，并且進程里還有這個病毒的運行記錄，原來這個文件 ，被病毒替換了啊，就像我們復制東西時，發(fā)現(xiàn)相同名稱的文件時，系統(tǒng)會提示你，是否覆蓋原來文件一樣，這里沒有提示，直接給你覆蓋了。

好吧！你厲害，既然如此，咱們在想辦法吧，我就想，怎么會被替換呢？要不把他的屬性換為只讀屬性呢？咱們試試！
重新啟動，驚訝的發(fā)現(xiàn)，這次沒有被替換了，并且文件的大小也變?yōu)榱薕字節(jié)，進程里面也沒有了這個病毒的相關進程了，就重新啟動了幾次。
噢耶，終于沒有了這個病毒的蹤影了，這里提一下，剛在alien說無法修改文件的屬性，那么咱們就先建立一個TXT文件試試，把屬性改為只讀，然后把名稱替換為calc.exe，這樣屬性也就變?yōu)榱酥蛔x的屬性了。

我在服務器的里面也測試了，也是可以改為只讀的屬性的哦！~其實表題所說的刪除，咱們現(xiàn)在還沒有發(fā)現(xiàn)，看來只能借助殺毒了耶，表示360貌似殺不了的

最新評論