2020年7月13日 星期一
| 首 页 | 部门首页 | 英语电台 | 信息公告 | 网络学苑/管理 | 病毒与安全 | 规章制度 | 网络简介 | 用户指南 | 校长信箱 |
当前位置:首页>>病毒与安全>>内容展示
磁碟机刚走 auto病毒群卷土重来

添加时间:2008/4/18 部门:网络与电教中心 点击量:7978

磁碟机病毒在各安全厂商和媒体的一致喊打声中突然销声匿迹,但这仅仅是盗号集团的暂时退却,很快,我们发现又一类利用配置autorun.inf配置自动运行的木马下载者蜂涌而至,同样,这些疯狂的下载者,可一次性下载20-30个盗号木马,用户的电脑将面临又一次蹂躏。

  以下是这两天极度猖獗的AUTO病毒最新变种的分析报告:

  一.行为概述

  该EXE是病毒下载器,它会:

  1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名。

  2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。

  3) 在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。

  4) 修改系统键值,将系统隐藏文件选项删除,造成用户无法查看隐藏起来的病毒文件。

  5) 修改系统注册表,将自己注册为服务开机启动。

  6) 搜索注册表启动项里是否有“360”字符串键值,有了删除,并用ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE, 有则修改系统时间,使得卡巴失效。

  7) 通过网站文件列表下载其它病毒。

  8) 删除该病毒以前版本遗留的注册表信息。

  9) “随机名.dll” 会远程注入系统进程中的所有进程

   


返回】【  】【关闭】【打印
版权所有 中国农业大学(烟台) 网络与电教中心 CopyRight 2007