|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| 该病毒为下载者木马类,该病毒利用了加密手段将API全部加密,以达到躲避杀软的查杀,运行后在%Windir%目录下创建tempaq文件夹,调用internetopenurla函数打开一个HTTP连接地址,然后调用堆栈 InternetReadFile函数读取网页上的内容:将网页文件保存到tempaq文件夹,并隐藏运行,经分析网页的内容为PE格式文件。 清除方案: 1. 使用安天防线2008可彻底清除此病毒(推荐)。 2. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”结束该病毒相关进程 (2) 删除病毒下载后衍生的文件 1. %system32%driversdnnpgw6m.sys 2. %system32%driversdnnpgw6m.sys 3. %system32%system32h0gq2mpll.dll |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|