档案编号:CISRT2006020
病毒名称:Trojan-PSW.Win32.QQDragon.bl(Kaspersky)
病毒别名:
病毒大小:32,768 字节
加壳方式:N/A
样本MD5:a0fd84459e5751bdb75cd5cc7d409e69
发现时间:N/A
更新时间:N/A
关联病毒:
传播方式:
技术分析==========
病毒文件为文本文件图标的exe可执行程序,运行后复制自身到系统目录:
%WINDOWS%services.exe并遍历文件夹,以随机字母和数字组成的文件名复制自身到各文件夹中,如:
uenginkkuwh.exe
uanowizhi.exe
kytcuanguan157.exe
uaninsf359.exe
iangyunkif152.exe
cifluzcuen450.exe
wxdiensi846.exe
chifuaomong.exe
yrian961.exe
qwiengchi.exe
tfbanchi39.exe
ianiangokh.exe
hmokyunueng432.exe
uanmgyiosi34.exe
ziluan467.exe
yunging431.exe
创建自启动项:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"services"="%WINDOWS%services.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunservices]
"services"="%WINDOWS%services.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"Run"="%WINDOWS%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"services"="%WINDOWS%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
"services"="%WINDOWS%services.exe"
清除步骤==========
启动系统进入安全模式,使用反
病毒软件全盘扫描查杀即可清除。
清除后别忘记删除
病毒创建的自启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"services"="%WINDOWS%services.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunservices]
"services"="%WINDOWS%services.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"Run"="%WINDOWS%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"services"="%WINDOWS%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
"services"="%WINDOWS%services.exe"
如果你使用的反
病毒软件还不能查到
病毒文件,那么可以尝试手动处理:
1. 根据
病毒文件的一些共同特征进行全盘搜索:
创建时间或修改时间相同或相近、文件大小约32K、文本文件图标的exe程序
2. 查看一个或多个
病毒文件的属性,记录下创建时间或修改时间
3. 全盘搜索*.exe,根据
病毒文件的创建时间或修改时间进行搜索,并指定文件大小至少31K或者至多33K
4. 搜索完成后再根据
病毒的文本文件图标来判断搜索结果里找到的是否为
病毒文件,最终锁定
病毒文件
5. 确定
病毒文件后就可以删除它们了,需要注意的是删除前应该先将进程中的
病毒进程结束,可以使用ProceXP等进程工具结束%WINDOWS%services.exe进程,还可能存在随机字母数字的
病毒进程,也要结束它们,最后直接删除搜索到的
病毒文件
上一篇: 木马 wol.exe KB49400M.LOG 清除方法
下一篇:征途木马病毒ztdll.dll和svhost32.exe的解决方案
