瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 警惕替换windows自动更新程序wuauclt1.exe的病毒

123   1  /  3  页   跳转

[原创] 警惕替换windows自动更新程序wuauclt1.exe的病毒

警惕替换windows自动更新程序wuauclt1.exe的病毒

今天刚刚拿到的样本。
瑞星20.53.50不报此毒。此毒在各个分区根目录下释放autorun.inf和MSDOS.exe(隐藏文件);改写system32目录下的系统程序wuauclt1.exe,改写drivers目录下的beep.sys;删除安全模式;中毒后瑞星杀软的所有监控失效。
病毒运行后释放的文件如下:

病毒改动的注册表内容如下:

系统(XP SP3)程序wuauclt1.exe的 MD5:




病毒程序wuauclt1.exe的 MD5:




一条软件限制策略即可弄死病毒


散列规则防护效果之一:


散列规则防护效果之一二:
[

删除所有病毒文件后,将dllcache目录下的系统程序wuauclt1.exe拷回system32目录。


用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-07-19 16:31:30
分享到:
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

学习一下。。。。
Virus Alert  Rising
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

估计就是那天见到的那些文件了
问题是那天多款杀毒软件都没报毒
狂汗
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

track就是一目了然啊
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

传说中的BEEPxxx?
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

防病毒替换正常文件,新散列规则笑眯眯搞定,
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

猫叔对于tiny监控的注册表键值,被病毒修改了,如何能正确的修改回来,tiny好像不提供修改具体的注册表的键值。ssm可以
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

盗号,木马还是下载者?
gototop
 

回复:警惕替换windows自动更新程序wuauclt1.exe的病毒

how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open the win system, it will have a command of ' Generic host Process for win32 services has problem'
Sorry, i can't type in chinese in school computer.
gototop
 

回复: 警惕替换windows自动更新程序wuauclt1.exe的病毒



引用:
原帖由 zy508 于 2008-7-23 21:19:00 发表
how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open the win system, it will have a command of ' Generi


double click the following program:
%system%\gpedit.msc
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT