病毒執行後有以下行為:
1、將病毒文件複製到%WINDIR%目錄下,檔案名為";Spoolsv.exe";,並該病毒文件執行。";Spoolsv.exe";文件執行後解壓縮檔案名為";mscheck.exe";的文件到%SYSDIR%目錄下,該檔案的主要功能是每次啟動時執行";Spoolsv.exe";文件。如果所執行的文件是感染了正常文件的病毒文件,病毒將會把該檔案恢復並將其執行。
2、修改註冊表以下鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加資料項:";Microsoft Script Checker"; 資料為:";MSCHECK.EXE /START";
修改該項註冊表使";MSCHECK.EXE";文件每次系統啟動時都將被執行,而";MSCHECK.EXE";用於執行";Spoolsv.exe";文件,從而達到病毒自啟動的目的。
3、新增一個執行緒用於感染C碟下的PE文件,但是文件路徑中包含";winnt";、";Windows";字元串的文件不感染。另外,該病毒還會枚舉區域網路中的共享目錄並試圖對這些目錄下的文件進行感染。該病毒感染文件方法比較簡單,將正常文件的前0x16000個字元取代為病毒文件中的資料,並將原來0x16000個字元的資料插入所感染的文件尾部。
4、試圖與區域網路內名為";admin";的郵槽聯繫,新增名為";client";的郵槽用於接收其控制端所傳送的指令,為其控制端提供以下遠端控制服務:
顯示或隱藏指定視窗、螢幕截取、控制CDROM、關閉計算器、註銷、破壞硬碟資料。
那些病毒會造成CPU佔有率過高
震盪波蠕蟲
利用微軟操作系統的LSASS緩衝區溢位漏洞進行遠端主動攻擊和傳染,導致系統異常和網路嚴重擁塞,具有極強的危害性,病毒如果攻擊成功,則會佔用大量系統資源,使CPU佔用率達到100%,出現電腦執行異常緩慢的現象。
如果中了這種病毒可採用下面的四種方法進行清除。
1、斷網打修正檔
如果不給系統打上相應的漏洞修正檔,則連網後依然會遭受到該病毒的攻擊,用戶應該先下載相應的漏洞修正檔程序,然後中斷連線網路,執行修正檔程序,當修正檔安裝完成後再上網。
2、清除記憶體中的病毒工作
要想徹底清除該病毒,應該先清除記憶體中的病毒工作,用戶可以按CTRL+SHIFT+ESC三或者右鍵按下工作列,在彈出功能表中選項「工作管理器」開啟工作管理器界面,然後在記憶體中搜尋名為「avserve.exe」的工作,找到後直接將它結束。
3、移除病毒文件
病毒感染系統時會在系統安裝目錄(預設為C:WINNT)下產生一個名為avserve.exe的病毒文件,並在系統目錄下(預設為C:WINNTSystem32)產生一些名為<;隨機字元串>;_UP.exe的病毒文件,用戶可以搜尋這些文件,找到後移除,如果系統提示移除文件失敗,則用戶需要到安全模式下或DOS系統下移除這些文件。
4、移除註冊表鍵值
該病毒會在電腦註冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun項中建立名為「avserve.exe」,內容為:「%Windows%avserve.exe」的病毒鍵值,為了防止病毒下次系統啟動時自動執行,用戶應該將該鍵值移除,方法是在「執行」功能表中按鍵輸入「REGEDIT」 然後彈出註冊表編輯器,找到該病毒鍵值,然後直接移除。
|