又一个穿透还原软件的病毒netguy_updatefile.exe
样本来自卡饭
netguy_updatefile.exe及其查杀流程:
1、释放文件:
在当前用户临时文件夹C:\Documents and Settings\baohelin\Local Settings\Temp\下释放“~两位随机数字.tmp”。
在C:\Documents and Settings\All Users\「开始」菜单\程序\启动\下释放netguy_updatefile.exe。
在System32下释放Deletedll.bat,执行后删除当前用户临时文件夹中的“两位随机数字.tmp”和Deletedll.bat自身。
2、网络访问:自网络下载病毒到系统中运行。
3、注册表改动:
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加sys_flt
(指向:C:\Documents and Settings\baohelin\Local Settings\Temp~两位随机数字.tmp)
4、对安全工具的影响:(1)此毒可穿透影子系统;(2)此毒运行后删除SSM的程序规则。
5、杀毒:
(1)用瑞星2008主动防御之“程序启动控制”或“组策略”中的“软件限制策略”禁止C:\Documents and Settings\All Users\「开始」菜单\程序\启动\netguy_updatefile.exe运行。
(2)重启系统。删除病毒文件及其注册表项。
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)
