近来,我们这里有一个病毒文件流传的很快。文件名是wupdate.exe,用了多种更新病毒定义码的杀毒软件都查不出它有什么问题。可是有这个文件的系统,会出很多奇怪的现象,比如网络共享不可用,很多客户端软件和服务器连不上等,这个文件在注册表上多处安身,看来一定应该是个病毒了。
上网搜索了一下,网上查得的信息是“wupdate.exe是Wengs广告软件的一部分。这个进程这个进程监视你的浏览习惯,并将相关数据回传到其服务器上用于分析。这个程序也会弹出广告窗口。这个进程的安全等级是建议立即进行删除。”我觉得并非如此简单,它还对很多网络服务有影响。
先做点手工删除的工作吧。首先是在任务管理器里把病毒进程停掉,然后是搜索硬盘里都有哪些地方有这个文件。结果搜到了2处,一个是在Symantec Antivirus程序文件夹里,还有一个在system32里,设了只读和隐藏的属性。没有疑问,立即删掉。再有就是在注册表里搜索了,把搜到有这个文件名的键值都删掉。
下面就要考虑是否还有其它文件,能释放出这个文件?检查了注册表里好几个有可能隐藏这种程序的地方,都没有什么结果。其实,完整的办法应该是找一个干净的系统,然后用注册表比对软件做记录,放上这个病毒文件后,再做比对,看注册表里有什么变化。这些现在都没准备,看来以后得准备这么一套系统和比对软件备用了。
我把我做的这些工作做了个批处理,然后压缩成可执行文件,当做专杀工具,放到了我的网络安全专题里。其实我知道,这个专杀工具杀得很不彻底,现在对这个病毒的了解还很肤浅。希望下一次新病毒来的时候,能有更充分的准备。
后记:现已证明,wupdate.exe就含有这一阶段有名的病毒:w32.spybot.worm。SAV需要升级到10.1.4.4000版本,病毒定义升级到目前最新才能较好地杀掉这个病毒。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!