internat. system32.vxd 等病毒清除解决方案.docx

internat. ,system32.vxd 等病毒清除解决方案 病毒症状 该样本是使用“borlanddelphi”编写的“蠕虫病毒”，采用“winupack”加壳方式试图躲避特征码扫描，加壳后长度为20，000字节，使用“”扩展名，通过网页木马、下载器下载、移动介质（如u盘）等方式进行传播。 用户中毒后，会出现计算机及网络运行缓慢，出现隐藏启动的iexplorer.进程等现象。 感染对象 windows2000/windowsxp/windows2003/windowsvista 传播途径 网页挂马、文件捆绑、下载器下载 病毒分析 1、病毒运行后首先检查自己的的参数是否为sleepdown或update。 2、如果都不是，检查自己的扩展名是否为.或com。设置自己为sedebugprivilege权限。 3、检查internat.和internat..tmp是否存在，如果存在就删除。 4、拷贝自己为internat.，设置为系统、隐藏属性，以sleepdown为参数调用internat.。 5、以sleepdown为参数运行后，每隔60s，遍历盘符，创建autorun.inf和setup.，setup.为病毒自身的拷贝，遍历非系统盘，获取其中的文件，将其路径保存为win.log，根据win.log的记录对文件进行感染。 6、以update为参数运行后，以隐藏方式打开iexplorer.，访问网络。 7、创建批处理，退出进程，自我删除。 病毒创建文件 systemrootsysteminternat. systemrootsystemsystem32.vxd systemrootsystem32win.log xsetup. xautorun.inf x为任意盘符。 病毒删除文件 systemrootsystem32win.log 病毒访问网络 http//tj.****.com 手动解决办法 手动删除以下文件 systemrootsysteminternat. systemrootsystemsystem32.vxd xautorun.inf xsetup. x为任意盘符。 变量声明 systemdriver系统所在分区，通常为“c” systemrootwindodws所在目录，通常为“cwindows” documentsandsettings用户文档目录，通常为“cdocumentsandsettings” temp临时文件夹，通常为“cdocumentsandsettings当前用户名称localsettingstemp” programfiles系统程序默认安装目录，通常为“cprogramfiles”