internat. system32.vxd 等病毒清除解决方案.docx
internat. ,system32.vxd 等病毒清除解决方案 病毒症状 该样本是使用“borlanddelphi”编写的“蠕虫病毒”,采用“winupack”加壳方式试图躲避特征码扫描,加壳后长度为20,000字节,使用“”扩展名,通过网页木马、下载器下载、移动介质(如u盘)等方式进行传播。 用户中毒后,会出现计算机及网络运行缓慢,出现隐藏启动的iexplorer.进程等现象。 感染对象 windows2000/windowsxp/windows2003/windowsvista 传播途径 网页挂马、文件捆绑、下载器下载 病毒分析 1、病毒运行后首先检查自己的的参数是否为sleepdown或update。 2、如果都不是,检查自己的扩展名是否为.或com。设置自己为sedebugprivilege权限。 3、检查internat.和internat..tmp是否存在,如果存在就删除。 4、拷贝自己为internat.,设置为系统、隐藏属性,以sleepdown为参数调用internat.。 5、以sleepdown为参数运行后,每隔60s,遍历盘符,创建autorun.inf和setup.,setup.为病毒自身的拷贝,遍历非系统盘,获取其中的文件,将其路径保存为win.log,根据win.log的记录对文件进行感染。 6、以update为参数运行后,以隐藏方式打开iexplorer.,访问网络。 7、创建批处理,退出进程,自我删除。 病毒创建文件 systemrootsysteminternat. systemrootsystemsystem32.vxd systemrootsystem32win.log xsetup. xautorun.inf x为任意盘符。 病毒删除文件 systemrootsystem32win.log 病毒访问网络 http//tj.****.com 手动解决办法 手动删除以下文件 systemrootsysteminternat. systemrootsystemsystem32.vxd xautorun.inf xsetup. x为任意盘符。 变量声明 systemdriver系统所在分区,通常为“c” systemrootwindodws所在目录,通常为“cwindows” documentsandsettings用户文档目录,通常为“cdocumentsandsettings” temp临时文件夹,通常为“cdocumentsandsettings当前用户名称localsettingstemp” programfiles系统程序默认安装目录,通常为“cprogramfiles”