回复:关于rsvs.pif这个新病毒,有专杀吗
RSVS.pif其实是标准的exe程序,将其扩展名更改为exe可以发现它的描述是Windows Update Manager for NT,公司为Microsoft Corporation,图标就是wuauclt.exe的图标,显然,它使用Windows升级程序wuauclt.exe的程序资源段进行的全副武装。
RSVS.pif运行后(RSVS.exe同样可以运行,效果肯定是完全相同的)做了这几件事:
1、向system32写入wuauclt.exe文件,也就是替换了系统的自动更新程序
2、向dllcache也写入wuauclt.exe文件,这样系统就无法还原正确的系统文件了。让我惊奇的是,它对系统程序的替换并没有惊动sfc——也就是说没有弹出系统文件被替换的窗口,连csrss.exe都骗过了,做的很绝。
3、在drivers创建beep.sys驱动,它修改系统时间为2004年,很多杀毒软件都会因为时间不正确而无法正常工作,比如卡巴就会弹出激活文件提示、nod32直接退出。
4、向C盘写入lo.tmp文件(经校验md5发现和RSVS.pif内容完全相同),向所有分区下复制RSVS.pif文件,并生成autorun.inf文件.
这是很典型的U盘病毒行为了,通过autorun.inf使原本由explorer.exe打开的资源管理器就由RSVS.PIF接管了,当双击或者在资源管理器中打开某一分区时,病毒运行,并在新窗口打开该分区,这是病毒的一个bug了,在新窗口打开分区会使用户感到不对劲的,
5、反查杀手段:破坏注册表,无法显示隐藏文件和系统文件;禁用注册表(其实将regedit.exe改名为regedit.com照样用),病毒在启动目录下产生了一个4.pif文件,一看就知道是病毒
这个月好像才诞生的病毒
专杀还没出来
等待。。。。。。。。。。。
