我爱电脑技术论坛's Archiver

白雪公主 发表于 2008-6-19 13:51

警惕:伪装360修复工具病毒威胁安全软件

日截获一款伪装360修复工具的病毒,该病毒会释放tmp格式的随机文件名驱动。该驱动会导致大量安全软件运行时提示不是有效win32应用程序。
n!Y)LP0Fj3a c'E/S^
6VS8JocA}S H [attach]32200[/attach]wr&vh We

N R!oAb h;y [attach]32201[/attach]/J5uA4A-v"R

O1w5y _{,E`h 常用的安全软件例如:360安全卫士、冰刃、Autoruns、gmer、RootkitUnhooker等。
i FC(U!m 'p8M:s%L-q
创建多个特权进程访问网络:
jn1]\wyS{K:zp1l (I+}`8I7q.GO-VC,{
[attach]32202[/attach]
U,[EG P:l(I V e dn0R Bi}1X
弹情色网页后台下载各类病毒: #@&W'o"o8o*DN%h1{,Y
)_ o j)I:ZE
[attach]32203[/attach][attach]32204[/attach]
&\*~7U4@/dQ ?z )VnE} ^g:tz
在启动目录下释放启动项baidu.lnk:
kUtZ iEz+t 'l Bt J1a7C4I.K
[attach]32205[/attach]7{z+S5B)L ?'?
.U(Y4y*yH E7f
Windows目录存放自身文件: ,s!t H(f J/c

t7\S3U1~1|%Z [attach]32206[/attach]
?Yr v&y(N;c?
,oo mLg6U3tf 写入仿冒360安全卫士与卡巴斯基的版本信息: h]M|*TU

"Pg T8T6`Z [attach]32207[/attach]
L Pj&b'| G jC-Q6{ 'f)uli3Uq/P2H+H
处理方法: )T#?ar)C
b-s ^:Hx)y
由于病毒驱动目前未设置随机启动,启动靠启动文件夹下的启动项启动并释放随机驱动文件。故删除启动文件夹下的baidu.lik文件即可。
2T x(qjjhA"v;p"t
"cAS_uHRu [attach]32208[/attach]

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.