| 【发掘网签约作者团:病毒风向标精英组】 |  |
| 【独家发布,版权所有,未经许可不得转载】 | |
| 【如需转载或合作,请联系QQ:138993551】 | |
| 【病毒风向标救援群:6550172】 |
【谢绝中国最*的反病毒小组转载】
文件名称:driver.exe
文件大小:40960 byte
AV命名:Worm.Win32.Agent.iqi(RS)
加壳方式:未
编写语言:Microsoft Visual C++ 6.0
病毒类型:木马
文件MD5:5327f26238f9e3296d9b636da7a93a8c
行为分析:
1、释放病毒副本:
C:\Windows\driver.exe 40960 字节
C:\Windows\smss.exe 40960 字节
D:\driver.exe 40960 字节
2、查找磁盘“把信送给加西亚.exe”和“goodgirl.jpg”复制到%Windir%下
?????
3、添加注册表,开机启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Rising Driver
注册表值Rising Driver = REG_SZ, "C:\Windows\driver.exe "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\System Service
注册表值System Service = REG_SZ, "C:\Windows\smss.exe S"
4、查找“监控中心”下所有子窗口,将其关闭?(未验证)
5、查找注册表“SOFTWARE\rising\Rav”键,获得瑞星安装目录并删除Rav.exe。(未实现)
6、查找"RsRavMon"服务,并将其服务设置为禁用。
【谢绝中国最*的反病毒小组转载】
解决方法:
1、http://free.ys168.com/?gudugengkekao1下载:SREng。
2、打开任务管理器,关闭driver.exe进程。
3、打开SREng,删除:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<System Service><C:\Windows\smss.exe> [N/A]
<Rising Driver><C:\Windows\driver.exe> [N/A]
4、重启电脑,删除:
C:\Windows\driver.exe 40960 字节
C:\Windows\smss.exe 40960 字节
D:\driver.exe 40960 字节
【原文地址:http://secure.itdigger.com/2007/10/23/141323234.htm 转载请勿断链 保留此行】
