当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||||
通过MSN传播的病毒IMG024.JPG.zip ehSched.exe解决教程 | |||||
2007-8-21 16:04:10 文/海色の月 出处:C.I.S.R.T. | |||||
病毒大小:37,888 字节 样本MD5:2a6458b5fc9214eaa9f3af82399a10a8 样本SHA1:7acd9a9111874c0c8f65207c022b33cdc4cc3c79 传播方式:通过MSN传播 技术分析 ========== MSN蠕虫变种,向MSN联系人发送欺骗文字消息和带毒压缩包,当联系人接受并打开带毒压缩包中的病毒文件时系统受到感染。 病毒运行后复制自身到系统目录: %windir%\system\ehSched.exe 生成包含自身的ZIP压缩包: %windir%\system\IMG024.JPG.zip 其中包含的病毒文件名是IMG024.JPG.com。 创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehSched"="%Windows%\system\ehSched.exe" 根据染毒系统语言向MSN联系人发送以下文字和带毒压缩包IMG024.JPG.zip:
尝试连接远程IRC:bitch2.saymai.name 通过修改注册表修改系统安全方面的一些设置:
尝试删除管理共享: C$-Z$ ADMIN$ IPC$ 结束以下服务进程: Security Center Windows Firewall/ICS Remote Registry Telnet wscsvc SharedAccess Messenger 删除Mydoom、Netsky、Bagle、Sobig、Blaster等蠕虫病毒的启动项。 Mutex: 7xUxkP34 清除步骤 ========== 1. 删除病毒启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehSched"="%Windows%\system\ehSched.exe" 2. 重新启动计算机 3. 删除病毒文件(详细步骤:到down.45its.com下载IceSword120_cn.zip冰刃-打开-文件-依次找到病毒文件删除即可): %windir%\system\IMG024.JPG.zip %windir%\system\ehSched.exe 4. 恢复被病毒修改过的注册表信息,以下为CISRT建议设置数据内容(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
或根据自己的具体情况进行设置。 |
|||||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |