病毒信息: 遍历磁盘类型
附加信息:C:
行为描述:提升权限
附加信息:”SeDebugPrivilege”
行为描述:查找指定进程
附加信息:comine.exe
行为描述:在系统敏感位置(如开始菜单等)释放链接或快捷方式
附加信息:桌面 >> 方便导航.lnk >> %ProgramFiles%Internet ExplorerIEXPLORE.EXE args:http://dh499qi3322.org
行为描述:创建进程
附加信息:
%ProgramFiles%Windows Media Playercomine.exe %windir%WinUpdate.exe %system%cmd.exe %system%ping.exe 行为描述:添加开机自启动项附加信息:
[Windows] – %ProgramFiles%Windows Media Playercomine.exe [Windows] : %ProgramFiles%Windows Media Playercomine.exe 行为描述:创建互斥体附加信息:
”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE” “C:?WINDOWS?WINUPDATE.EXE” “OleDfRoot0000D80E5″ “OleDfRoot0000D9795″ “ShellCopyEngineFinished” “ShellCopyEngineRunning” 行为描述:隐藏指定窗口附加信息:
ThunderRT6FormDC : [WinUpdate.exe] ThunderRT6FormDC : [comine.exe] ThunderRT6Main : [WinUpdate.exe] ThunderRT6Main : [comine.exe] 行为描述:查找文件附加信息:
”C:Documents and Settings” “C:Documents and SettingsAdministrator” “%USERPROFILE%WinUpdate.exe” “%USERPROFILE%ping” “%USERPROFILE%ping.*” “%USERPROFILE%桌面方便导航.lnk” “%system%ping.*” “%system%ping.COM” “%system%ping.EXE” 这是托马斯说的,具体我也不知道耶。但是我们让alien共享群里之后,下载下来,在虚拟机运行,的却挺流氓的额。表示咱们开始防御。刚开始,我打开文件之后,发现没什么反应的,但是我到本地磁盘C里 面 发现,这种病毒出现了。我删除,拒绝访问,么办法,在群里看到alien的截图,在进程里面有这个程序的相关进程,好的,既然这样,我打开进程,结束了相关的进程。 ok,删除成功!我以为,这就可以了 ,截图到群里,可结果alien 说,重启之后,又出现了,我试了试,还真的出现了耶。这时,我就想到了,咱们防止U盘病毒的方法,在相应的目录建立相同名称的文件或者文件夹。。好的,咱们试试,建立文件开机重启。 郁闷的是,果真如alien所说的那样。本来O字节的文件,变成了34K的了,郁闷了 ,并且进程里还有这个病毒的运行记录,原来这个文件 ,被病毒替换了啊,就像我们复制东西时,发现相同名称的文件时,系统会提示你,是否覆盖原来文件一样,这里没有提示,直接给你覆盖了。 好吧!你厉害,既然如此,咱们在想办法吧,我就想,怎么会被替换呢?要不把他的属性换为只读属性呢?咱们试试!重新启动,惊讶的发现,这次没有被替换了,并且文件的大小也变为了O字节,进程里面也没有了这个病毒的相关进程了,就重新启动了几次。 噢耶,终于没有了这个病毒的踪影了,这里提一下,刚在alien说无法修改文件的属性,那么咱们就先建立一个TXT文件试试,把属性改为只读,然后把名称替换为calc.exe,这样属性也就变为了只读的属性了。 我在服务器的里面也测试了,也是可以改为只读的属性的哦!~其实表题所说的删除,咱们现在还没有发现,看来只能借助杀毒了耶,表示360貌似杀不了的。
