本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:
该病毒写入如下启动项:
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup] [Local Group Policy][c:\windows\cursors\boom.vbs] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [][C:\WINDOWS\system\KEYBOARD.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [sys][C:\WINDOWS\Fonts\Fonts.exe] [HKEY_CURRENT_USER\Control Panel\Desktop] [SCRNSAVE.EXE][C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com]
修改REG文件关联到: %systemroot%\pchealth\Global.exe
利用劫持阻止以下程序运行:
释放主要文件如下:
%systemroot%\cursors\boom.vbs %systemroot%\system\keyboard.exe %systemroot%\system32\dllcache\default.exe %systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe %systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif %systemroot%\pchealth\helpctr\binaries\helphost.com %systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe %systemroot%\system32\dllcache\autorun.inf %systemroot%\system32\dllcache\system.exe %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\dllcache\Global.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe
各个盘符下的autorun.inf以及MS-DOS.com
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:
由于病毒通过多种方式启动自身、手动处理步骤对于一般用户来说较为复杂。该病毒通过金山毒霸2008的病毒库升级可以处理。
[文章图片来源--爱毒霸社区]
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名