最近出現一隻會將時間重設為1980年的病毒
最近出現一隻會將時間重設為1980年的病毒,
所以不一定是你的主機板電池沒電,而是中毒了...
「轉貼」:大陸作者 berrykwok (mopery)
又是個U盤病毒..文件名隨機..
具體寫個分析..
運行樣本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf
X=C D E F H .... *=大小寫字母隨機命名
修改註冊表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
生成註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
訪問網站
http://避免各位中毒,所以把網站連結刪除
http://避免各位中毒,所以把網站連結刪除
Listsas.txt
內容為
4002http://避免各位中毒,所以把網站連結刪除
4003http://避免各位中毒,所以把網站連結刪除
30http://避免各位中毒,所以把網站連結刪除
31http://避免各位中毒,所以把網站連結刪除
31http://避免各位中毒,所以把網站連結刪除
listsas.txt 與 服務器上 http://避免各位中毒,所以把網站連結刪除 同步..
內容一樣..
系統時間被更改.. 年份被更改為 1980 年..這樣能導致一些軟件無法使用..
連網下載
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同時生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
處理方法: (安全模式操作)刪除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf
修復註冊表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 編輯改成 1
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 編輯改為 C:\WINDOWS\system32\userinit.exe, 2000系統改為 C:\WINNT\system32\userinit.exe,
刪除註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun" 鍵值..
(這個鍵值涉及到一些設置..像我電腦就不會有這個鍵值..稍微修改下..刪除單個鍵值)
|