calc.exe病毒防御与删除方法

楼主^#

更多发布于：2013-01-12 16:29

[] 1


	病毒信息：遍历磁盘类型附加信息：C: 行为描述：提升权限附加信息：”SeDebugPrivilege” 行为描述：查找指定进程附加信息：comine.exe 行为描述：在系统敏感位置（如开始菜单等)释放链接或快捷方式附加信息：桌面>> 方便导航.lnk >> %ProgramFiles%internet ExplorerIEXPLORE.EXEargs:http://dh499qi3322.org 行为描述：创建进程附加信息：%ProgramFiles%WindowsMediaPlayercomine.exe %windir%WinUpdate.exe %system%cmd.exe %system%ping.exe 行为描述：添加开机自启动项附加信息：[Windows]– %ProgramFiles%Windows Media Playercomine.exe [Windows] :%ProgramFiles%Windows MediaPlayercomine.exe 行为描述：创建互斥体附加信息：”C:?PROGRAMFILES?WINDOWS MEDIAPLAYER?COMINE.EXE” “C:?WINDOWS?WINUPDATE.EXE” “OleDfRoot0000D80E5″ “OleDfRoot0000D9795″ “ShellCopyEngineFinished” “ShellCopyEngineRunning” 行为描述：隐藏指定窗口附加信息：ThunderRT6FormDC: [WinUpdate.exe] ThunderRT6FormDC :[comine.exe] ThunderRT6Main :[WinUpdate.exe] ThunderRT6Main :[comine.exe] 行为描述：查找文件附加信息：”C:Documents andSettings” “C:Documents andSettingsAdministrator” “%USERPROFILE%WinUpdate.exe” “%USERPROFILE%ping” “%USERPROFILE%ping.” “%USERPROFILE%桌面方便导航.lnk” “%system%ping.” “%system%ping.COM” “%system%ping.EXE” 这是托马斯说的，具体我也不知道耶。但是我们让alien共享群里之后，下载下来，在虚拟机运行，的却挺流氓的额。表示咱们开始防御。刚开始，我打开文件之后，发现没什么反应的，但是我到本地磁盘C里面发现，这种病毒出现了。我删除，拒绝访问，么办法，在群里看到alien的截图，在进程里面有这个程序的相关进程，好的，既然这样，我打开进程，结束了相关的进程。 ok，删除成功！我以为，这就可以了，截图到群里，可结果alien说，重启之后，又出现了，我试了试，还真的出现了耶。这时，我就想到了，咱们防止U盘病毒的方法，在相应的目录建立相同名称的文件或者文件夹。。好的，咱们试试，建立文件开机重启。郁闷的是，果真如alien所说的那样。本来O字节的文件，变成了34K的了，郁闷了，并且进程里还有这个病毒的运行记录，原来这个文件，被病毒替换了啊，就像我们复制东西时，发现相同名称的文件时，系统会提示你，是否覆盖原来文件一样，这里没有提示，直接给你覆盖了。好吧！你厉害，既然如此，咱们在想办法吧，我就想，怎么会被替换呢？要不把他的属性换为只读属性呢？咱们试试！重新启动，惊讶的发现，这次没有被替换了，并且文件的大小也变为了O字节，进程里面也没有了这个病毒的相关进程了，就重新启动了几次。噢耶，终于没有了这个病毒的踪影了，这里提一下，刚在alien说无法修改文件的属性，那么咱们就先建立一个TXT文件试试，把属性改为只读，然后把名称替换为calc.exe，这样属性也就变为了只读的属性了。我在服务器的里面也测试了，也是可以改为只读的属性的哦！~其实表题所说的删除，咱们现在还没有发现，看来只能借助杀毒了耶，表示360貌似杀不了的