瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 一只通过U盘传播的病毒lgQPm.EXE的分析及解决方法

1   1  /  1  页   跳转

一只通过U盘传播的病毒lgQPm.EXE的分析及解决方法

收藏
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-04 22:56 | 只看楼主 短消息 资料
字号: 1楼

一只通过U盘传播的病毒lgQPm.EXE的分析及解决方法

该病毒MACFEE不报,



lgQPm.EXE运行后,自动复制到%WINDOWS%目录下
%WINDOWS%\lgQPm.exe
%WINDOWS%\wc98pp.dll
%WINDOWS%\Listsas.txt
*:\*****.exe
*:\AUTORUN.INF
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\C:\WINDOWS\system32\userinit.exe,
修改为:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\lgQPm.exe
修改系统日期
注意该病毒%WINDOWS%\lgQPm.exe连接网络
IP地址:221.8.74.166
端口:80
自动下载:
%WINDOWS%\099.exe
在系统中释放:
%WINDOWS%\099.TXT
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log




解决方法:
使用IceSword结束病毒进程%WINDOWS%\lgQPm.exe
删除
%WINDOWS%\lgQPm.exe
%WINDOWS%\wc98pp.dll
%WINDOWS%\099.exe
%WINDOWS%\099.TXT
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
每个根目录下的
*:\*****.exe    因为这个是随机生成的,每次都不一样的文件名,没法确定,所以用*****来代替,是五位数:如下图
*:\AUTORUN.INF

更改系统日期,


注意事项:
在测试时,SSM提示更改:
*:\Program Files\Internet Explorer\IEXPLORE.EXE
更改为:
*:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.sinavip.net/A.asp?Id=4067404609999
因为是修改完了才想起来,所以也不知道到底有没有更改.回收站里面有一个,


欢迎交流,并指出错误。


附件附件:

下载次数:248
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-4 22:56:53
描述:



最后编辑2007-02-05 10:05:57
分享到:
gototop
 
ogim
头像
飘泊而立狮
  • 帖子:589
  • 注册: 2006-05-22
  • 来自:
发表于: 2007-02-04 23:07 | 短消息 资料
字号: 2楼

到此一游
gototop
 
ogim
头像
飘泊而立狮
  • 帖子:589
  • 注册: 2006-05-22
  • 来自:
发表于: 2007-02-04 23:09 | 短消息 资料
字号: 3楼

说的不错。。。。是个好文章。。写的很详细。。。顶
gototop
 
无敌剑仙
头像
锋芒艾服狮
  • 帖子:1176
  • 注册: 2005-06-14
  • 来自:银河镇火星村
发表于: 2007-02-05 10:15 | 短消息 资料
字号: 4楼

测验?试验?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT