好像该病毒一直在升级,几个月前只是添加服务,而最近则采用了驱动技术,下面是简单分析 释放文件 %System%\SevenSowrdSvr.exe %System%\Sevenlog.sys %System%\sevenlog.txt 添加注册表信息 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] SevenSword %System%\SevenSowrdSvr.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root] LEGACY_SEVENSWORD %System%\SevenSowrdSvr.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Sevenlink %System%\Sevenlog.sys [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root] LEGACY_SEVENLINK %System%\Sevenlog.sys 运行特点 释放文件插入到系统进程svchost.exe 我这里好像并未出现相互监视保护的现象 解决过程: 1、使用unlocker删除SevenSowrdSvr.exe、Sevenlog.sys 2、在正常情况下,驱动建立的服务并不是那么容易清除,可以使用IceSword删除其添加的注册表信息,还可以通过修改权限来删除 3、删除其释放的所有文件 4、文中所涉及工具在到各大下载站搜索都可以找到并下载! |