Intoxicación informática. Pide consejo a un experto.

Recientemente, el virus del disco U auto.exe ha sido bastante violento, pero al mismo tiempo, se ha descubierto un virus de descarga similar que se propaga a través de los discos U. Espero que todos los internautas estén más atentos.

El siguiente es el análisis de este virus:

Archivo: servver.exe

Tamaño: 37888 bytes

MD5: 411AD11AC0FF5164C8B18AB4AD0D5739

SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA

CRC32: F57CD054

Generar el siguiente archivo

Generar su copia en el disco del sistema

system32\ servver.exe

Y generado en cada partición del disco

autorun.inf y servver.exe

Registrado como servicio Windowsms

Apunte a system32\servver.exe

Tipo de inicio: Automático

Nombre para mostrar: Telephots google

Descripción del servicio: Proporciona soporte para dispositivos plug-and-play

Intentando modificar el valor clave del registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun pero no se implementó durante las pruebas

La ventana de búsqueda "IE Protección de ejecución" encontró el botón Buscar más tarde "Permitir ejecución"

Y envíe el comando de WM_LBUTTONDOWN para simular pulsaciones de teclas

Busque la ventana "Rising Kaka Internet Security Assistant-IE Anti-Leakage Wall " y luego busque el botón "Permitir"

Y envíe el comando WM_LBUTTONDOWN para simular pulsaciones de teclas

Compruebe si hay un archivo drivers/klif.sys

Si es así, utilice el comando cmd /c date 1981-01-12 para cambiar la fecha al 12 de enero de 1981

Y vuelva a cambiar la fecha después de 15 segundos

Llame a CreateProcess para abra el proceso c:\windows\system32\svchost.exe y luego llame a WriteProcessMemory Espere a que la función escriba el código de virus en este proceso para implementar la función de descarga

Descargue el siguiente archivo

/~jfpan/download/IceSword122cn.zip

sreng /blog /attachment/iframekill.rarReparar archivos html infectados