病毒信息：
遍歷磁盤類型
附加信息：C:
行為描述：提升權(quán)限
附加信息：”SeDebugPrivilege”
行為描述：查找指定進(jìn)程
附加信息：comine.exe
行為描述：在系統(tǒng)敏感位置（如開始菜單等)釋放鏈接或快捷方式
附加信息：桌面 >> 方便導(dǎo)航.lnk >> %ProgramFiles%\Internet Explorer\IEXPLORE.EXE args:http://dh499qi3322.org
行為描述：創(chuàng)建進(jìn)程
附加信息：%ProgramFiles%\Windows Media Player\comine.exe

%windir%\WinUpdate.exe
%system%\cmd.exe
%system%\ping.exe
行為描述：添加開機(jī)自啟動(dòng)項(xiàng)
附加信息：[Windows] – %ProgramFiles%\Windows Media Player\comine.exe
[Windows] : %ProgramFiles%\Windows Media Player\comine.exe
行為描述：創(chuàng)建互斥體
附加信息：”C:?PROGRAM FILES?WINDOWS MEDIA PLAYER?COMINE.EXE”

“C:?WINDOWS?WINUPDATE.EXE”
“OleDfRoot0000D80E5″
“OleDfRoot0000D9795″
“ShellCopyEngineFinished”
“ShellCopyEngineRunning”
行為描述：隱藏指定窗口
附加信息：ThunderRT6FormDC : [WinUpdate.exe]

ThunderRT6FormDC : [comine.exe]
ThunderRT6Main : [WinUpdate.exe]
ThunderRT6Main : [comine.exe]

行為描述：查找文件
附加信息：”C:\Documents and Settings”
“C:\Documents and Settings\Administrator”
“%USERPROFILE%\WinUpdate.exe”
“%USERPROFILE%\ping”
“%USERPROFILE%\ping.*”
“%USERPROFILE%\桌面\方便導(dǎo)航.lnk”
“%system%\ping.*”
“%system%\ping.COM”
“%system%\ping.EXE”

這是托馬斯說的，具體我也不知道耶。但是我們讓alien共享群里之后，下載下來，在虛擬機(jī)運(yùn)行，的卻挺流氓的額。
表示咱們開始防御。

剛開始，我打開文件之后，發(fā)現(xiàn)沒什么反應(yīng)的，但是我到本地磁盤C里 面 發(fā)現(xiàn)，這種病毒出現(xiàn)了。
我刪除，拒絕訪問，么辦法，在群里看到alien的截圖，在進(jìn)程里面有這個(gè)程序的相關(guān)進(jìn)程，好的，既然這樣，我打開進(jìn)程，結(jié)束了相關(guān)的進(jìn)程。
ok，刪除成功！

我以為，這就可以了 ，截圖到群里，可結(jié)果alien 說，重啟之后，又出現(xiàn)了，我試了試，還真的出現(xiàn)了耶。
這時(shí)，我就想到了，咱們防止U盤病毒的方法，在相應(yīng)的目錄建立相同名稱的文件或者文件夾。。好的，咱們?cè)囋?，建立文件開機(jī)重啟。
郁悶的是，果真如alien所說的那樣。本來O字節(jié)的文件，變成了34K的了，郁悶了 ，并且進(jìn)程里還有這個(gè)病毒的運(yùn)行記錄，原來這個(gè)文件 ，被病毒替換了啊，就像我們復(fù)制東西時(shí)，發(fā)現(xiàn)相同名稱的文件時(shí)，系統(tǒng)會(huì)提示你，是否覆蓋原來文件一樣，這里沒有提示，直接給你覆蓋了。

好吧！你厲害，既然如此，咱們?cè)谙朕k法吧，我就想，怎么會(huì)被替換呢？要不把他的屬性換為只讀屬性呢？咱們?cè)囋嚕?
重新啟動(dòng)，驚訝的發(fā)現(xiàn)，這次沒有被替換了，并且文件的大小也變?yōu)榱薕字節(jié)，進(jìn)程里面也沒有了這個(gè)病毒的相關(guān)進(jìn)程了，就重新啟動(dòng)了幾次。
噢耶，終于沒有了這個(gè)病毒的蹤影了，這里提一下，剛在alien說無法修改文件的屬性，那么咱們就先建立一個(gè)TXT文件試試，把屬性改為只讀，然后把名稱替換為calc.exe，這樣屬性也就變?yōu)榱酥蛔x的屬性了。

我在服務(wù)器的里面也測(cè)試了，也是可以改為只讀的屬性的哦！~其實(shí)表題所說的刪除，咱們現(xiàn)在還沒有發(fā)現(xiàn)，看來只能借助殺毒了耶，表示360貌似殺不了的

最新評(píng)論