Adware.Winsdup.d病毒资料及清除方法
作者: 瑞星客户服务中心 来源: 瑞星客户服务中心
知识库编号: RSV0707697
内容分类: 木马病毒
适用产品分类:瑞星杀毒软件.单机版.标准版.2007
瑞星杀毒软件.单机版.升级版.2007
瑞星杀毒软件.单机版.下载版.2007
关键词: Adware.Winsdup.d;清除
本文提供Adware.Winsdup.d病毒资料以及清除方法。
【病毒分析】:
该病毒使用VC6编写,属于广告类病毒,该病毒具有以下行为:
1、生成文件:
病毒运行后建立路径"%ProgramFiles%\winp",并在此路径释放如下文件:
code.dll;lexi.lex;play.dll;snet.dll;stdi.ini;stdl.ini;stub.dll;upiilex.ini;upme.ini;vote.dll
2、新建注册表信息:
HKLM\System\CurrentControlSet\Services\svcs = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子键
HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
HKLM\System\CurrentControlSet\Services\svcs\
ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子键
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718} = 新建子键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\DisplayName = "Windows svcs UnInstall"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C5C8E9A-48BA-4d26-AA01-2E1D4DC14718}\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒尝试连接如下网址,并下载文件
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根据下载的文件中的信息,弹出IE显示指定的广告网页或进行点击
【清除方法】:
1、将瑞星卡卡上网安全助手升级到最新版本,进行恶意及流氓软件清理。
2、将瑞星杀毒软件升级到最新版本,全盘查杀。
