注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

金山印象

金山软件官方博客

 
 
 

日志

 
 

小心感染型病毒入侵您的电脑  

2010-07-01 11:36:43|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

作者:snowlee    金山软件 · 珠海
  最近有用户在论坛上留言说每次运行exe就会生成很多.lnk文件(图1-1),而且进程管理器里面也被满满的.lnk充斥着(图1-2)。毒霸的研发团队对导致此现象的病毒经过详细分析后发现该病毒不仅仅是我们看到的那些行为而已,其实它暗地里做的坏事更为恶劣,完全中毒后会导致用户不能上网看视频,浏览QQ空间没有背景音乐......下面我们就来一起看看病毒是怎样执行的。

小心感染型病毒入侵您的电脑

                       图1-1 生成很多lnk文件

小心感染型病毒入侵您的电脑

                        图1-2 任务管理器被lnk塞满

 其实用户运行的exe已经是被病毒感染后的非正常文件,病毒将正常文件经过加密附在文件尾部,将自己的病毒代码覆盖原来正常文件的位置并执行。病毒执行完病毒自己的代码后会将正常文件恢复并保存在当前目录下并添加.lnk为后缀名。该病毒可以重复感染,每感染一次的exe运行后都会释放一个加lnk的文件,这也是为什么我们会看到很多lnk文件的原因。
  病毒会创建本地TCP套接字自实现HTTP从远程计算机下载robots.txt文件到本地的操作。在连接和下载的过程中,病毒会先尝试从指定域名(fishcontv.freeTCP.com)所指示的计算机上下载,如果域名解析失败,就会直接连接205.209.168.5这个IP,这样做主要是为了防止域名失效。病毒下载成功后便进行解密并运行,相比生成的很多lnk文件,下载后的病毒运行起来对用户的威胁更为严重!
  病毒执行后会在C:\Program Files目录下生成随机文件名的文件夹,并在这个文件夹中释放两个文件(一个exe,一个dll)病毒调用函数regsvr32.exe在注册表中注册这个dll,并且利用sc.exe将释放出来的exe文件以自启动服务的方式运行。
  病毒会卸载脚本相关的dll使计算机脚本无法执行,还会删除指定注册表键(HKLM\Software\Microsoft\Windows\CurrentVersion\Run)只要通过这里自启动的软件都会被取消。病毒篡改注册表项使用户的IE浏览器不能观看视频,没有背景音乐,且经常弹出脚本调式提示窗口(图2-1),每次打开IE浏览器都会弹出垃圾页面(图2-2)。用户中毒后电脑变得奇卡无比,会严重影响用户的正常使用。

小心感染型病毒入侵您的电脑

                            图2-1 经常性弹出脚本调试窗口

小心感染型病毒入侵您的电脑

                     图2-2 打开浏览器弹出垃圾页面
  由于这类病毒对电脑多处进行篡改,这极大的增加了用户手动清除的难度,因此我们建议用户最好使用自动工具进行清除处理。目前金山毒霸已经可以查杀该类病毒并完美修复感染后的文件,金山急救箱也可以对电脑进行彻底修复。

您可以到以下页面下载到相关软件:
  1.金山毒霸2011 下载地址http://www.duba.net/kav/aladin.shtml
  2.金山急救箱下载地址 http://www.duba.net/jijiu/index.shtml
  3.金山网盾下载地址 http://www.duba.net/wangdun/

  评论这张
 
阅读(561)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017