瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 警惕替换windows自动更新程序wuauclt1.exe的病毒

1   1  /  1  页   跳转

[原创] 警惕替换windows自动更新程序wuauclt1.exe的病毒

收藏
本主题由 大版主 lqqk7 于 2008-8-25 21:06:57 执行 设置精华/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-19 16:03 | 显示全部 短消息 资料
字号: 1楼

警惕替换windows自动更新程序wuauclt1.exe的病毒

今天刚刚拿到的样本。
瑞星20.53.50不报此毒。此毒在各个分区根目录下释放autorun.inf和MSDOS.exe(隐藏文件);改写system32目录下的系统程序wuauclt1.exe,改写drivers目录下的beep.sys;删除安全模式;中毒后瑞星杀软的所有监控失效。
病毒运行后释放的文件如下:

病毒改动的注册表内容如下:

系统(XP SP3)程序wuauclt1.exe的 MD5:




病毒程序wuauclt1.exe的 MD5:




一条软件限制策略即可弄死病毒


散列规则防护效果之一:


散列规则防护效果之一二:
[

删除所有病毒文件后,将dllcache目录下的系统程序wuauclt1.exe拷回system32目录。


用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-07-19 16:31:30
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-23 21:27 | 显示全部 短消息 资料
字号: 2楼

回复: 警惕替换windows自动更新程序wuauclt1.exe的病毒



引用:
原帖由 zy508 于 2008-7-23 21:19:00 发表
how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open the win system, it will have a command of ' Generi


double click the following program:
%system%\gpedit.msc
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-30 22:29 | 显示全部 短消息 资料
字号: 3楼

回复: 警惕替换windows自动更新程序wuauclt1.exe的病毒



引用:
原帖由 QQ凌帆 于 2008-7-30 18:44:00 发表
学习了,可否问一下你图用什么工具查看的呢?

用Tiny的Track'nReverse监控病毒运行的结果
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-31 21:15 | 显示全部 短消息 资料
字号: 4楼

回复: 警惕替换windows自动更新程序wuauclt1.exe的病毒



引用:
原帖由 水中泜 于 2008-7-31 21:00:00 发表
可是系统时间还是2004年啊……怎么改呀。。。


杀净病毒后,双击任务栏右端的时间显示处,自己把系统时间改回来。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT