|
|
|
|
U盘病毒MS-DOS.com替换系统文件修改注册表http://www.sina.com.cn 2008年06月06日 08:16 赛迪网--软件世界
本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。 由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:
病毒写入启动项 该病毒写入如下启动项: HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup] [Local Group Policy][c:\windows\cursors\boom.vbs] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [][C:\WINDOWS\system\KEYBOARD.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [][C:\WINDOWS\system32\dllcache\Default.exe] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [sys][C:\WINDOWS\Fonts\Fonts.exe] [HKEY_CURRENT_USER\Control Panel\Desktop] [SCRNSAVE.EXE][C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com] 修改REG文件关联到: %systemroot%\pchealth\Global.exe 利用劫持阻止以下程序运行:
利用劫持阻止程序运行 释放主要文件如下: %systemroot%\cursors\boom.vbs %systemroot%\system\keyboard.exe %systemroot%\system32\dllcache\default.exe %systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe %systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif %systemroot%\pchealth\helpctr\binaries\helphost.com %systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe %systemroot%\system32\dllcache\autorun.inf %systemroot%\system32\dllcache\system.exe %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\dllcache\Global.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe 各个盘符下的autorun.inf以及MS-DOS.com 使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:
 病毒在windows目录下的exe文件列表 由于病毒通过多种方式启动自身、手动处理步骤对于一般用户来说较为复杂。该病毒通过金山毒霸2008的病毒库升级可以处理。
【发表评论】
不支持Flash
|