vipdos.exe是一个网友发来的样本。卡巴斯基2006年9月13日13点的病毒库不报毒。 一、vipdos.exe运行后释放下列文件: C:\windows\system32\vipdos.exe C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB desktop.ini ip[1].htm vrius_search[1].htm vrius_tools[1].htm desktop.ini的内容为: [.ShellClassInfo] UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933} ip[1].htm的内容为: <script src='http://s66.cnzz.com/stat.php?id=254175&web_id=254175&show=pic' language='JavaScript' charset='gb2312'></script> <iframe src="http://www.viph.net/ip.htm" width="0" height="0" frameborder="0"> </iframe> vrius_search[1].htm的内容(图1) vrius_tools[1].htm的内容(图2)
二、通过不固定的端口,访问多个IP地址,下载多种病毒、木马(包括“威金”、“密西”等恶性病毒,图3)。
三、注册表修改: 在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 添加:C:\windows\system32\vipdos.exe 在: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 添加:"C:\\windows\\system32\\vipdos.exe"="C:\\windows\\system32\\vipdos.exe:*:Enabled:Microsoft (R) Internetal IExplore" 在:HKEY_CLASSES_ROOT\CLSID\ 添加:{7BD29E00-76C1-11CF-9DD0-00A0C9034933} 在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 添加:"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Internet 临时文件" 四、查杀: 1、结束进程C:\windows\system32\vipdos.exe 2、删除vipdos.exe添加的注册表项。 3、删除C:\windows\system32\vipdos.exe以及C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB文件夹的全部文件。 4、中招后,重启系统前,下载到%windows%文件夹中的病毒可直接删除(见图3)。 |