简介 五毒虫是一个包括邮件蠕虫、漏洞蠕虫、后门、QQ尾巴等行为于一身的混合病毒 使用教程 1、 双击下载的文件,运行3721五毒虫病毒专杀工具;2、 启动专杀工具后,点击主界面中的查杀按钮,即可进行查杀。 技术细节 以下为该病毒的行为:A、病毒运行后会将自身复制到系统目录下:%SystemRoot%\SYSTRA.EXE %System%\hxdef.exe %System%\IEXPLORE.EXE %System%\RAVMOND.exe %System%\realsched.exe %System%\vptray.exe %System%\kernel66.dll B、在系统安装目录中生成%System%\ODBC16.dll %System%\msjdbc11.dll %System%\MSSIGN30.DLL%System%\LMMIB20.DLL%System%\NetMeeting.exe %Windir%\suchost.exe %System%\spollsv.exe 在每个盘符下生成如下两个文件AUTORUN.INF COMMAND.EXE 使用户一双击盘符即会中毒 C、在注册表主键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加如下键值:"WinHelp"="%SYSTEM%"\realsched.exe""Hardware Profile" ="%SYSTEM%"\hxdef.exe""Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe""Program In Windows"="%system%\IEXPLORE.EXE""VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg""Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg""Shell Extension"="%system%\spollsv.exe" 对注册表主键:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command修改如下键值"默认"="vptray.exe %1" 在注册表主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices下添加如下键值:"SystemTra"="%Windor%\SysTra.EXE""COM++ System"="suchost.exe" 对于win98/me系统 会对%system%\win.ini文件内添加如下内容:run=%System%\RAVMOND.exe D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll,入口参数为ondll_server。 E、随机开启一个端口,作为后门。 F、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开头 G、复制自身到所有共享目录中,文件名可能是以下之一:WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909! H、会在网络映射磁盘或可移动磁盘中搜索EXE文件,替换原文件,并将原文件改名为~ex,同时生成tools.rar,压缩包中包括Tools.scr文件为病毒程序。 解决方案 推荐解决方案 请下载使用3721五毒虫病毒专杀工具,即可清理该病毒及其变种。 手工解决方案 暂时没有手工清除方法,建议使用3721五毒虫病毒专杀工具进行清除。 ----------------------------------------------------------------------
评论