内容摘要:U盘病毒详细介绍
ielp.exe U盘病毒详细介绍
运行后文件变化
各个分区生成autorun.inf 和ielp.exe
修改系统时间为2005年1月17日0:00
注册表变化
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue值为 0x00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLType:值为"radio2"
破坏显示隐藏文件
连接网络下载木马
读取http://www.jh177.cn/googel.txt等下载列表文件
与%system32%iehelp.ini进行同步
下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe
木马植入完毕以后生成如下文件
%system32%driverssvchost.exe
%system32%EXPL0RER.EXE
%system32%iehelp.ini
%system32%ie_help0.exe
%system32%ie_help1.exe
%system32%ie_help2.exe
%system32%SVCH0ST.EXE
%system32%svchcst.exe
其中%system32%SVCH0ST.EXE和%system32%EXPL0RER.EXE双进程保护
对应的sreng日志如下
启动项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
服务
[Windows Aseounts Driver / windownhp][Running/Auto Start]
[HTTP Client / HTTP Client][Running/Auto Start]
[Automatic Updates / wuauserv][Running/Auto Start]
清除办法:
1.打开sreng
启动项目 注册表 删除如下项目
双击shell 把其键值改为Explorer.exe
2.重启计算机进入安全模式
把下面的代码拷入记事本中然后另存为1.reg文件
责编:豆豆技术应用
- 金山毒霸2008杀毒防护软件试用手记
- Gdwli32盗号木马专杀工具
- 魔域官方推出 “魔域木马专杀工具”
- “44939”木马爆发 360安全卫士发布专杀工具
- 360安全卫士U盘病毒专杀工具 v1.9
- 专杀流行病毒 新版超级巡警震撼登场
- 诺顿杀毒软件再曝误杀事件
- 免费使用杀毒软件 丰富奖品惊喜连连
- 瑞星08杀毒软件被指比病毒危险
- 杀毒软件互联网化成趋势 “免费”大旗齐飘扬