瑞星卡卡安全论坛

发现一个U盘病毒，文件名是iMos.exe,很长时间了，到目前最新的瑞星病毒库20.37.02都查不出来,见附件。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)


附件: 931490200832595103.rar

把这个文件测试了下

没什么太大的动作
注册表中添加了
    <auto><C:\WINDOWS\system32\iMos.exe>  []

还有
特殊特权被允许： SeDebugPrivilege [PID = 1172, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\IMOS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1172, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\IMOS.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2552, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\IMOS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2552, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\IMOS.EXE]

处理起来方法也很简单
用任务管理器，结束两个IMOS.EXE进程，删除IMOS.EXE文件
删除C:\WINDOWS\system32\iMos.exe

打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
找到
<auto><C:\WINDOWS\system32\iMos.exe>  []
删除

结束该进程，在安全模式下直接删除就可以了！