|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| 该病毒为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动失效,遍历System32目录查找s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。 清除方案: 1. 使用安天防线2008可彻底清除此病毒(推荐)。 2. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”关闭病毒相关进程 (2) 删除病毒服务注册表项 1. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion] 键值:"Image File Execution Options" 删除注册表Image File Execution Options键值 |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|