与SysAnti.exe斗法
样本来源:
http://bbs.ikaka.com/showtopic-8633052.aspx样本提供者说此毒感染文件。但我玩儿它时未见其感染文件行为。
SysAnti.exe文件大小:56.5K
MD5值:9F2F0D0D71E0BB6780CB9B4B898106CE
运行后:
1、开启IE,下载病毒。病毒文件类型有:.exe、.dll、.fon、.ttf、.dat、.tmp。
2、替换系统程序comres.dll、verclsid.exe。
3、监视Autoruns.exe、IceSword.exe进程,发现即结束之。还监视含IceSword字样的目录,发现用户打开这样的目录即刻关闭。
4、利用系统程序userinit.exe搞鬼(不要删除这个userinit.exe哦。结束其进程即可。)
不过,它还是被俺玩儿了。
玩儿它,还是用“按中毒日期搜索+NTFS权限”法。很俗的方法,用起来都有点不好意思了。斗了两个回合,俺的IceSword就运行起来了
宰之!!
以下几个病毒程序用IceSword强制删除。至于被病毒替换过的系统程序comres.dll、verclsid.exe,删除后,再从dllcache目录下拷回system32目录即可。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
