查看完整版本: 邪恶的“360修复工具”

邪恶的“360修复工具”

[color=red][b]近日截获一款伪装360修复工具的病毒，该病毒会释放tmp格式的随机文件名驱动。该驱动会导致大量安全软件运行时提示不是有效win32应用程序。[/b][/color]
[b][color=#ff0000][/color][/b][attach]16165023[/attach][attach]16165024[/attach]
[b][color=#ff0000][/color][/b]

[b][color=purple]常用的安全软件例如：360安全卫士、冰刃、Autoruns、gmer、RootkitUnhooker等。[/color][/b]
[b][color=#0000ff][/color][/b]
[color=blue][b]创建多个特权进程访问网络：[/b][/color]
[attach]16165031[/attach]
[b][color=#0000ff][/color][/b]
[color=blue][b]弹情色网页后台下载各类病毒：[/b][/color]
[attach]16165025[/attach][attach]16165026[/attach]
[b][color=#0000ff][/color][/b]
[color=blue][b]在启动目录下释放启动项baidu.lnk:[/b][/color]
[attach]16165029[/attach]
[b][color=#0000ff][/color][/b]
[color=blue][b]Windows目录存放自身文件：[/b][/color]
[attach]16165027[/attach]


[color=blue][b]写入仿冒360安全卫士与卡巴斯基的版本信息：[/b][/color]
[b][color=#0000ff][attach]16165028[/attach][/color][/b]
[b][color=#0000ff][/color][/b]

[b][color=red]处理方法：
[/color][color=blue]由于病毒驱动目前未设置随机启动，启动靠启动文件夹下的启动项启动并释放随机驱动文件。故删除启动文件夹下的baidu.lik文件即可。[/color][/b]
[attach]16165030[/attach]

[[i] 本帖最后由 papa 于 2008-6-18 09:31 编辑 [/i]]

papa很好～
papa很强大～～

papa好厉害哦  我来学习下

启动文件组很容易被人忽视，这是相当原始的启动加载方式了。伪造的版本信息也比较容易分辨。

放在启动组很容易被发现  有时候刚搞定  在C:\WINDOWS\system32下有冒充mfc的   比较的难处理

用sreng也发现不了

病毒很bt papa更bt

飘过.~  {tsj10}

BT的毒啊....{tsj10}

360邪恶

papa很强哦~~

PAPA真厉害的说

现在这么多病毒
都没胆上网了.

好惨啊

昨天我的计算机就是中的这个病毒!~{chinaz10}

papa 好墙    啊。。。。

360好xiee

晕

这样都可以啊

恩恩

这是真的吗？我不信！！！

什么类型的病毒都有

360树大招风

这也有毒{tsj21}

谢谢papa的即时发布与分析,学习一下!

{chinaz10} 斑竹好牛的说 学会了......  这个病毒不怕了

现在这么多病毒啊

又出新病毒了,不过看起来还算好,不知道以后会不会发展成很厉害!

这病毒太隐秘了~~

要注意下

无奈

没用360°2个杀毒软件有冲突。。

*** 作者被禁止或删除 内容自动屏蔽 ***

楼上白痴吧？那个exe只是用了网页图标而已，不是什么你所谓的html！exe文件的图标你愿意换成什么样子都可以。怎么和双后缀扯在一起了？SP3难道默认会阻止exe运行？太扯蛋了！！！不懂装懂的人太多了！汗！

我无语．

*** 作者被禁止或删除 内容自动屏蔽 ***

*** 作者被禁止或删除 内容自动屏蔽 ***

耗子 你 勋章太多了  太碍眼啦  分给偶一个吧····

xue xi

经常手动查看，window目录 window/system32 目录下 window/sysdriver 目录，对这些文件按照修改时间排序，看看有没有新的dll， exe，sys ，ocx，nls 等等。是你防止病毒很好的方法。

360--邪!!!!!

好贱的病毒！

360的，还好我没碰到。。