|
|
新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法: 8 d _# c8 X0 T. y* T
病毒名:Worm.QQTailEKS.ds.36864 & B0 O, ~6 ~% i
传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播。
( v" R! N; R, B) k( l) o" l病毒行为:
% ?, u" D6 [3 B- s y3 v1.病毒运行后常驻内存,向系统目录中复制多个副本: ( ~- h4 }* M% j [+ s% u- E0 n8 N
3 T' ^/ ]5 t' W/ F
%windows%\cacom.exe(%windows%一般是c:\windows目录)
, c; {2 K6 e$ P* _/ L5 j%System%\Akica.exe(%system%一般是指c:\windows\system32目录)
+ K' e; s4 ~( e/ y0 L8 E, G" u5 Z4 X. F- o9 E/ F! s7 ]
在Windows 2000系统,该病毒生成的程序名为sycacom.exe。 0 s1 o! @2 k+ c- G9 k' X
2.覆盖系统游戏“纸牌”的程序: 6 @ R7 G: w( O
" |& I( G# L1 C- y, A" `7 ~( w/ K( @
%System%\sol.exe / R5 p: g8 a! D9 K
%System%\drivers\sol.exe(这里正常没有这个sol.exe)
. U+ X0 C5 n$ h: v" k7 ?5 f7 t# C
' ]1 K8 B% `' V3.向系统分区以外的分区根目录复制自身: " h& d# ] {5 C- j: E$ L0 B
' U- E7 @4 a1 R N# mX:\EKS.exe(X为盘符)
. R7 i! j( p" `# I4 M m/ T$ V2 c' V; D: ^0 T; F& }/ w
4.生成“自动播放”文件:
. z7 [1 a8 r7 P, d+ O& v U) J2 m# ~4 s1 g0 M3 q, ]
X:\Autorun.inf:
: r( v. B* E q& S0 n1 C7 i* A3 F2 ^( o: R
内容为: - \. Q# \3 H/ B, q2 u- l
7 H/ V# [/ ^' ?/ h/ K
[autor.un] $ T6 `5 h3 }2 S( P
open=EKS.exe , Y7 q& h; ^) E" A! N H& d
shellexecute=EKS.exe * m H( w$ I# L& J
shell\Auto\command=EKS.exe 8 s6 d1 {2 q7 E& t9 ?/ p
shell=Auto6 l; Y1 P; p# u x
5.修改注册表,创建启动项:
5 U* _* V' N, t[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS+ A& h* j" a5 t' {8 b
\CurrentVersion\Run] 5 k A b. e4 w$ E
"Akica"="%System%\Akica.exe"
! m! W: ]) n+ g l[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
3 n2 _. z0 s! C"cacom"="%Windows%\cacom.exe" _, h. Z* F" [3 p4 S
8 K- S. G6 o* s, Q6.向QQ好友发送以下附带病毒地址的消息:
) F! T0 z0 R* v7 \8 T+ n. Q9 p
3 R( C: Z& e! f* {- B6 |看看我的网友,杭州的,皮肤白皙,身材超正,我想让她成为恋人,征求您的建 " s8 S) V+ Z; [7 e6 u7 b1 i/ i0 }7 @0 W
议, 她的视频 HXXP://2.emeishan-jiudianyuding.cn//v.asp?q=2
T/ u D( \2 I
# Z) I2 T* }5 l C还记得小文吗,她现在成了二奶,打扮得火辣性感,开着宝马,是被一个香港人包的;真不敢相信,看
* z# g W4 B& W; s看她博客上的视频您就知道了 hxxp://2.emeishan-jiudianyuding.cn//v.asp?q=1 , y( S6 k6 ]0 c( V8 t
0 I8 g% B' n5 N/ J% iHi,快点帮个忙, 打开这个网址,然后随便点击下面的一个链接, hxxp://2.emeishan- 3 ]" Y, U' k/ v( n* J/ |
jiudianyuding.cn//v.asp?q=URL-movies.htm 一会在对你说为什么,万分感谢。
7 d" K9 a3 i( x: |; {. q& |) H( y, p H9 L! g7 \. {2 Z% H
我刚发现的 ,超刺激的**电影,速度巨快, 一个月免费, hxxp://2.emeishan- 0 J* }# Y' `6 x$ c4 H
jiudianyuding.cn//v.asp?q=URL-free-movies.htm
, g ?4 H" S4 y' w$ @6 _% O4 g9 [* a; \
6 G2 B* }( c7 k$ X
发送消息后尝试关闭聊天对话框,病毒还会访问一些广告页面。 1 G; G. L1 w: o8 B; q' R
手动清除方法:
% V# [ r$ |$ t8 X+ M' p5 I1.结束病毒进程 4 t {" I8 Q* b: D0 @" ?
按Ctrl+Alt+Del,启动任务管理器,结束vm1.exe的进程(如果重启过,病毒进程变为akica.exe或cacom.exe)。
0 p' Z/ y+ y! v- Z2 c, A2 K* V2.点开始,运行,输入regedit,启动注册表编辑器,删除以下病毒启动项:
- ~5 m6 h1 I/ i
M/ O6 {# a( ~* s% \[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
9 \! ^9 d4 f1 Y3 a"Akica"="%System%\Akica.exe"
8 Y, R5 J/ y c, T8 G[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] % i6 s8 E. D1 w* D( P
"cacom"="%Windows%\cacom.exe", L# a5 U. y, T' D5 _6 o
/ h+ s: O4 j9 m/ ~6 T3.使用杀毒软件或者手工删除病毒文件。 3 V8 Y: [+ y2 z0 s
建议立即升级杀毒软件后查杀,如果手边没有最新版本的杀毒软件,可以手工删除以下文件。
. U" r8 t& O5 G4 b/ O
% |8 D. C8 N$ {4 ~%Windows%\cacom.exe,(%windows%通常指c:\windows目录)
2 e+ x5 ?* J; ~( g' V @%System%\Akica.exe,(%system%通常指c:\windows\system32目录)
2 m4 O( x! E% @8 ?. X5 D( e%System%\sol.exe
4 U0 p- V6 {) U8 a4 i& c7 f%System%\drivers\sol.exe# x l- x/ H4 s+ }
- b$ w! Y, C% E. R' A( E' C4.恢复“纸牌”游戏 % z. E6 h) K1 H+ m
病毒替换了“纸牌”游戏,可以从正常的系统COPY这个游戏程序到%system%目录。 ; d& b( X1 o0 O' _
5.删除其它分区的病毒文件 B: t6 y1 i7 H" e
使用“资源管理器”,而不是双击访问磁盘,双击会启动自动播放,其它分区仍存在的病毒程序会自动运行,这样的话,前面的工作就白费了。树形文件夹状态进入各分区根目录,删除EKS.exe和Autorun.inf。 & E% P2 t D' e1 `3 Y
6.禁用自动播放防范此类病毒 ' W) }# L) L# Q0 g! K p. e
该病毒仍然通过自动播放传播,强烈建议使用组策略编辑器禁止所有驱动器的自动播放功能。操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
6 P1 ~/ I+ o. C( d& C
5 ]# e! ]/ ?$ e1 Q1 @) I) [[ 本帖最后由 老兵 于 2009-4-4 03:09 编辑 ] |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-4-4 03:01:45
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡