廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2892 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
c1010c1010c 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x7 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] fKzf9wP6bhq6Bcxa.Ttf,m37tEtTX7Ye5c.dll 等病毒清除解決方案
病毒症狀
該樣本是使用「VC」編寫的盜號木馬,採用「UPX」加殼方式,企圖躲避特徵碼掃瞄,加殼後長度為「22,122 字節」,病毒擴展名為「exe」,主要通過「文件捆綁」、「下載器下載」、「網頁掛馬」等方式傳播,病毒主要目的為盜取遊戲帳號密碼信息。  
用戶中毒後,會出現遊戲無故關閉,輸入用戶名密碼時,電腦運行速度緩慢,Windows軟件無故報錯等現象。
感染對像
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載


病毒分析
(1)生成病毒配置文件和動態庫文件
(2)加載病毒動態庫文件,設置鉤子
(3)遍歷進程,關閉遊戲進程
(4)查找VErCLSiD.exe文件,如果找到,刪除VErCLSiD.exe文件
(5)修改註冊表,實現自啟動等功能
(6)使用DOS命令刪除自身
(7)截獲密碼信息,並發送到指定網址      
病毒創建文件:
  
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll    
病毒刪除文件:   
%SystemRoot%\system32\VErCLSiD.exe    
病毒創建註冊表:   
HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{19250D1E-B733-4F49-BC56-44EFCF3BF650}  



解決方案:
1、使用相同版本文件修復%SystemRoot%\system32\VErCLSiD.exe
2、手動刪除以下文件:
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll  
3、手動刪除以下註冊表值:  
鍵:HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
鍵:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\  
值:{19250D1E-B733-4F49-BC56-44EFCF3BF650}  
數據:null  
變量聲明:  
%SystemDriver%       系統所在分區,通常為「C:\」  
%SystemRoot%        WINDODWS所在目錄,通常為「C:\Windows」  
%Documents and Settings%  用戶文檔目錄,通常為「C:\Documents and Settings」  
%Temp%           臨時文件夾,通常為「C:\Documents and Settings\當前用戶名稱\Local Settings\Temp」  
%ProgramFiles%       系統程序默認安裝目錄,通常為:「C:\ProgramFiles」



小綿羊偉
獻花 x0 回到頂端 [樓 主] From:台固媒體 | Posted:2009-05-23 11:49 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.092156 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言