DNF托马斯0.7.exe中毒后的处理
样本来源:
http://bbs.ikaka.com/showtopic-8693197.aspxRIS2010最新病毒库(22.33.01.04)不报毒。
一、病毒运行后的动作:
1、释放文件
C:\Documents and Settings\Administrator\Local Settings\Temp\tcom.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\tbot.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\thk.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\now.tmspage
2、写注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
3、通过1070 端口访问 222.186.30.35:888
4、下载病毒:
C:\Documents and Settings\Administrator\Local Settings\Temp\360update.dat(被RIS2010灭掉)。
二、手杀处理流程:
1.结束病毒进程DNF.EXE
2、删除病毒文件
3、删除病毒添加的注册表项
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
