关于病毒install1.exe
此毒运行后释放下列文件:
%system%\brastk.exe
%system%\divers\dllcache\figaro.sys
改写系统文件:
%system%\divers\beep.sys
%system%\divers\dllcache\beep.sys
添加注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\brastk
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\brastk
HKLM\System\CurrentControlSet\Control\Session Manager\\PendingFileRenameOperations
释放并运行一个.bat,此.bat运行后,删除install1.exe及自身。
上述动作完成后,系统立即重启。如果没有工具监控其运行,用户就这么糊里糊涂的中招了。
这类改写%system%\divers\beep.sys的病毒很流行。建议各位用主动防御看管好自己的%system%\、%system%\divers\dllcache\以及%system%\drivers\目录,不给这类病毒可乘之机。
手工查杀流程:
1、用组策略禁止上述病毒程序运行。
2、重启系统。
3、删除上述病毒文件及其注册表项。
4、自正常同类系统拷贝beep.sys到中毒电脑的%system%\divers\目录下。
附:此毒相关信息
病毒文件的大小及MD5值
原样本:
install1.exe(42.5K) 6412c769d7d5db534a6f9b3910a846a8
生成物:
brastk.exe(9.5K) 1d45317da5b26967905c8b8715b9c987
figaro.sys (27K) f8a6751cbc71a3eb44c5838f5735da13
beep.sys (27K) f8a6751cbc71a3eb44c5838f5735da13
用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
