病毒信息:
遍歷磁盤類型
附加信息:C:
行為描述:提升權限
附加信息:”SeDebugPrivilege”
行為描述:查找指定進程
附加信息:comine.exe
行為描述:在系統敏感位置(如開始菜單等)釋放鏈接或快捷方式
附加信息:桌面 >> 方便導航.lnk >> %ProgramFiles%\Internet Explorer\IEXPLORE.EXE args:http://dh499qi3322.org
行為描述:創建進程
附加信息:%ProgramFiles%\Windows Media Player\comine.exe
%windir%\WinUpdate.exe
%system%\cmd.exe
%system%\ping.exe
行為描述:添加開機自啟動項
附加信息:[Windows] – %ProgramFiles%\Windows Media Player\comine.exe
[Windows] : %ProgramFiles%\Windows Media Player\comine.exe
行為描述:創建互斥體
附加信息:”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE”
“C:?WINDOWS?WINUPDATE.EXE”
“OleDfRoot0000D80E5″
“OleDfRoot0000D9795″
“ShellCopyEngineFinished”
“ShellCopyEngineRunning”
行為描述:隱藏指定窗口
附加信息:ThunderRT6FormDC : [WinUpdate.exe]
ThunderRT6FormDC : [comine.exe]
ThunderRT6Main : [WinUpdate.exe]
ThunderRT6Main : [comine.exe]
行為描述:查找文件
附加信息:”C:\Documents and Settings”
“C:\Documents and Settings\Administrator”
“%USERPROFILE%\WinUpdate.exe”
“%USERPROFILE%\ping”
“%USERPROFILE%\ping.*”
“%USERPROFILE%\桌面\方便導航.lnk”
“%system%\ping.*”
“%system%\ping.COM”
“%system%\ping.EXE”
這是托馬斯說的,具體我也不知道耶。但是我們讓alien共享群裡之後,下載下來,在虛擬機運行,的卻挺流氓的額。
表示咱們開始防御。
剛開始,我打開文件之後,發現沒什麼反應的,但是我到本地磁盤C裡 面 發現,這種病毒出現了。
我刪除,拒絕訪問,麼辦法,在群裡看到alien的截圖,在進程裡面有這個程序的相關進程,好的,既然這樣,我打開進程,結束了相關的進程。
ok,刪除成功!
我以為,這就可以了 ,截圖到群裡,可結果alien 說,重啟之後,又出現了,我試了試,還真的出現了耶。
這時,我就想到了,咱們防止U盤病毒的方法,在相應的目錄建立相同名稱的文件或者文件夾。。好的,咱們試試,建立文件開機重啟。
郁悶的是,果真如alien所說的那樣。本來O字節的文件,變成了34K的了,郁悶了 ,並且進程裡還有這個病毒的運行記錄,原來這個文件 ,被病毒替換了啊,就像我們復制東西時,發現相同名稱的文件時,系統會提示你,是否覆蓋原來文件一樣,這裡沒有提示,直接給你覆蓋了。
好吧!你厲害,既然如此,咱們在想辦法吧,我就想,怎麼會被替換呢?要不把他的屬性換為只讀屬性呢?咱們試試!
重新啟動,驚訝的發現,這次沒有被替換了,並且文件的大小也變為了O字節,進程裡面也沒有了這個病毒的相關進程了,就重新啟動了幾次。
噢耶,終於沒有了這個病毒的蹤影了,這裡提一下,剛在alien說無法修改文件的屬性,那麼咱們就先建立一個TXT文件試試,把屬性改為只讀,然後把名稱替換為calc.exe,這樣屬性也就變為了只讀的屬性了。
我在服務器的裡面也測試了,也是可以改為只讀的屬性的哦!~其實表題所說的刪除,咱們現在還沒有發現,看來只能借助殺毒了耶,表示360貌似殺不了的