近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询,这些用户尝试安装杀毒软件时,安装程序均立即被删除,Sreng重命名后运行也会被立即删除。
如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢?本文主要针对这些广大用户关注的疑点作出解释。
病毒做了什么:
根据样本提取的情况看,该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。
病毒共性:
就毒霸客服提取的病毒样本看,中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件,同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。
执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名,如:rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。
该主文件写入的随机启动注册表位置如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad |
解决方案:
由于该病毒删除屏蔽了目前几乎所有主流杀毒软件以及检测工具这一特性,所以大多数一般用户选择了重装系统。金山客服中心对此类病毒一直保持着极高的关注度,目前已经提取到足够数量的病毒样本,并通过毒霸的更新对其免疫与查杀。
下面是一个不会被该病毒删除的检测工具,运行前请去掉.txt扩展名。
|
· 最新安全软件:微软官方.. · 网络端口安全防护技巧 .. · 19日病毒预报:木马家.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 安全专家详谈Web威胁种.. · WatchGuard分析:僵尸.. · MigBot代码补丁技术的.. · 系统病毒免疫设置 · 怎么去 防恶意病毒? · 新木马病毒可更改路由.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Apache技术专题 · Windows集群服务应用 · 国际文档格式标准开战 |
· 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 · 了解统一威胁管理(UTM).. · 专题:AIX操作系统管理.. · 访问控制列表(ACL)介绍 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · 三层交换技术专题 · Apache技术专题 · 企业数据恢复指南 · Windows集群服务应用 |
· 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 · 访问控制列表(ACL)介绍 · ASP.NET开发教程 · PHP开发应用手册 |
|||
