最近,这类病毒流行。今天看到的这个lsass.exe与早前见到的那个tel.xls.exe有所不同。
1、此毒不替换系统文件。
2、感染系统分区以外的所有.exe文件。
3、感染系统后释放的病毒文件及其所在目录如下:
(1)X:\WINDOWS\SYSTEM32\COM\LSASS.EXE
(2)X:\WINDOWS\SYSTEM32\COM\SMSS.EXE
(3)X:\WINDOWS\SYSTEM32\COM\~.EXE(运行后自动删除)
(4)X:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif(运行后自动删除,关闭系统前再次写入)。
(5)X:\AUTORUN.INF
(6)X:\PAGEFILE.PIF
(7)Y:\AUTORUN.INF
(8)Y:\PAGEFILE.PIF
【注】
X:系统分区
Y:其它分区4、不感染软盘。
5、此毒在“禁止查看隐藏文件”方面似有缺陷。中招后,用户自己设置一下文件夹选项(图1),隐藏文件即刻暴露(图2)。
6、\SYSTEM32\COM\LSASS.EXE和\SYSTEM32\COM\SMSS.EXE两个进程相互保护。用SSM无法结束它们。用IceSword,需要几次操作才能完全结束这两个病毒进程。结束病毒进程后,病毒文件可直接删除(图3)
7、卡巴斯基今天的病毒库虽然查不到\SYSTEM32\COM\LSASS.EXE和\SYSTEM32\COM\SMSS.EXE;但能查到被其感染的.exe文件(图4)且可清除其中的病毒代码(图5)。
8、SREng被感染后,卡巴斯基虽然可清除其中的病毒,但经卡巴斯基杀毒后的SREng不能运行(因为SREng带自校验功能)。
图1
附件:
1558472006123161921.jpg 