文件名称:伪EXPLORER.EXE
文件大小:65536 字节
AV命名:Worm.Win32.VB.zbn(瑞星) Win32:AutoRun-JW(Avast)
加壳方式:未
编写语言:Microsoft Visual Basic 5.0 / 6.0
文件MD5:56b71b3581e5d1c3c2302a28fa47cb3a
行为:
1.释放文件:
C:\WINDOWS\system\SERVICES.EXE 65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE 65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节
2.删除备份文件:
C:\WINDOWS\system32\dllcache\explorer.exe
3.覆盖系统文件:C:\WINDOWS\explorer.exe
系统启动时先执行病毒体,再执行C:\WINDOWS\system\explorer.exe。
4.重命名文件,为:explorer.exe608924508094788,作为备份
5.尝试U盘传播和修改系统的隐藏文件选项,不过未实现.
解决方法:
1.删除: C:\WINDOWS\explorer.exe 65536 字节 C:\WINDOWS\system\SERVICES.EXE 65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE 65536 字节
2.把explorer.exe608924508094788 重命名为explorer.exe
或者是从C:\WINDOWS\system\explorer.exe复制到C:\WINDOWS\explorer.exe |