当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
PictureAlbum2007.zip(Trojan.Win32.Delf.ads)病毒分析解决 | |||
2007-8-12 9:13:15 文/孤独更可… 出处:孤独更可靠博客 | |||
1、释放病毒文件: C:\Windows\PictureAlbum2007.zip 62116 字节(压缩包) C:\Windows\system32\awtqrpn.dll(名字可能会不一样) C:\WINNT\system32\prodigys323.dll(名字可能会不一样) 这3个是主体,后来下载的病毒自己用杀软解决`` 2、注册表修改,实现Dll无载体启动: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 3、连接Irc.oc256.***(英国)IRC服务器下载木马(未下载全) 好像下了3个。 由注入进程的prodigys323.dll完成,并隔段时间检测PictureAlbum2007.zip是否存在。 如不在则从IRC服务器重新下载。 4、会在MSN聊天对话中随机发送文字(详细文字略)并和PictureAlbum2007.zip一起发送。 解决方法: 网上搜索MSN蠕虫专杀,不能杀掉的话,看下面: down.45its.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
2、首先打开SREng,查找例如下面的启动项,并记住它们的名字(这点注意): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] prodigys323.dll这个可能名字不一样。名字在百度、google等搜索不到。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 这个是其中一个木马释放的,名字可能也不一样! F4002052-AB29-4B33-8C8D-0E99084564EC也不相同,注意区别哈。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccdbbc] 同上,名字可能会不一样。 3、重启电脑,再次打开SREng,如果上述启动项已不在的话,把对应的文件删除就可以了。 并且删除C:\Windows\PictureAlbum2007.zip压缩包。 4、如果上述启动项还在的话,按F3查找它们名字。 (也可以到Windows和system32目录下选择以“按日期”排列图标,当然最后几个就有可能是病毒,找到后用冰刃禁止线程创建删除文件和他们的注册表项,后用“重启并监视”关闭系统。 5、升级杀软,再全盘扫。(12号的杀软报的还不是很多) |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |