新QQ尾巴,發誘惑訊息迷惑網民,點選訊息中的連結,下載執行後就會中招,中毒後會不停向好友發出類似訊息。以下是詳細分析報告和手工清除辦法:
病毒名:.36864
傳播方式:通過QQ傳送訊息,並通過自動播放和惡意網頁傳播。
病毒行為:
1.病毒執行後常駐記憶體,向系統目錄中複製多個副本:
%windows%(%windows%一般是c:windows目錄) %System%(%system%一般是指c:windowssystem32目錄) |
在Windows 2000系統,該病毒生成的程式名為。
2.覆蓋系統遊戲“紙牌”的程式:
%System% %System%drivers(這裡正常沒有這個) |
3.向系統分割槽以外的分割槽根目錄複製自身:
4.生成“自動播放”檔案:
內容為:
[autorun] open= shellexecute= shellAutocommand= shell=Auto |
| 5.修改登錄檔,建立啟動項:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWINDOWSCurrentVersionRun] "Akica"="%System%" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] "cacom"="%Windows%" |
6.向QQ好友傳送以下附帶病毒地址的訊息: 看看我的網友,杭州的,面板白皙,身材超正,我想讓她成為戀人,徵求您的建 議, 她的視訊 HXXP:/// 還記得小文嗎,她現在成了二奶,打扮得火辣性感,開著寶馬,是被一個香港人包的;真不敢相信,看 看她部落格上的視訊您就知道了 hxxp:/// Hi,快點幫個忙, 開啟這個網址,然後隨便點選下面的一個連結, hxxp://shan- / 一會在對你說為什麼,萬分感謝。 我剛發現的 ,超刺激的**電影,速度巨快, 一個月免費, hxxp://shan- / |
傳送訊息後嘗試關閉聊天對話方塊,病毒還會訪問一些廣告頁面。 手動清除方法: 1.結束病毒程序 按Ctrl+Alt+Del,啟動工作管理員,結束的程序(如果重啟過,病毒程序變為或)。 2.點開始,執行,輸入regedit,啟動登錄檔編輯器,刪除以下病毒啟動項: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "Akica"="%System%" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] "cacom"="%Windows%" |
3.使用防毒軟體或者手工刪除病毒檔案。 建議立即升級防毒軟體後查殺,如果手邊沒有最新版本的防毒軟體,可以手工刪除以下檔案。 %Windows%,(%windows%通常指c:windows目錄) %System%,(%system%通常指c:windowssystem32目錄) %System% %System%drivers |
4.恢復“紙牌”遊戲 病毒替換了“紙牌”遊戲,可以從正常的系統COPY這個遊戲程式到%system%目錄。 5.刪除其它分割槽的病毒檔案 使用“資源管理器”,而不是雙擊訪問磁碟,雙擊會啟動自動播放,其它分割槽仍存在的病毒程式會自動執行,這樣的話,前面的工作就白費了。樹形資料夾狀態進入各分割槽根目錄,刪除和。 6.禁用自動播放防範此類病毒 該病毒仍然通過自動播放傳播,強烈建議使用組策略編輯器禁止所有驅動器的自動播放功能。操作步驟為:點選開始→執行→輸入,開啟組策略編輯器,瀏覽到計算機配置→管理模板→系統,在右邊窗格中雙擊“關閉自動播放”,對話方塊中選擇所有驅動器,確定即可。 |