首页|资讯|互联网|电信|硬件|软件|情报|产经|博客|家庭|商用电脑|游戏|评测|学院|下载|网络通信|方案应用|搜索
移动计算|商用软件|外包|开源|中间件|企业|IT经理|发烧友|程序员|IT女性|学生|老板|笔记本|手机|台式机|数码|论坛
安全频道

U盘病毒MS-DOS.com替换系统文件改注册表

2008-06-06 11:10 作者:papa 来源:赛迪网
[摘要] 本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
  本周一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。

  由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。

  该病毒写入如下启动项:

  HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup]

  [Local Group Policy][c:\windows\cursors\boom.vbs]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [][C:\WINDOWS\system32\dllcache\Default.exe]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  [][C:\WINDOWS\system\KEYBOARD.exe]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

  [][C:\WINDOWS\system32\dllcache\Default.exe]

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

  [sys][C:\WINDOWS\Fonts\Fonts.exe]

  [HKEY_CURRENT_USER\Control Panel\Desktop]

  [SCRNSAVE.EXE][C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com]

  修改REG文件关联到: %systemroot%\pchealth\Global.exe

  利用劫持阻止程序运行,释放主要文件如下:

  %systemroot%\cursors\boom.vbs

  %systemroot%\system\keyboard.exe

  %systemroot%\system32\dllcache\default.exe

  %systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe

  %systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif

  %systemroot%\pchealth\helpctr\binaries\helphost.com

  %systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe

  %systemroot%\system32\dllcache\autorun.inf

  %systemroot%\system32\dllcache\system.exe

  %systemroot%\system32\dllcache\svchost.exe

  %systemroot%\system32\dllcache\Global.exe

  %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe

  %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe

  %systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe

  各个盘符下的autorun.inf以及MS-DOS.com

  使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名。

  由于病毒通过多种方式启动自身、手动处理步骤对于一般用户来说较为复杂。该病毒通过金山毒霸2008的病毒库升级可以处理。

【责任编辑 陈东方】

关键词: U盘病毒, MS-DOS.com,
  • 精选专题
关于eNet | 广告服务 | 版权声明 | 加入eNet | 联系我们 | 建议/投诉 | 网站导航 | 加入收藏

网站合作、内容监督、商务咨询、投诉建议:010-65245588
合作建议:hezuo@mail.enet.com.cn
Copyright © 1998--2008 硅谷动力公司版权所有 京ICP证000044号

京ICP证000044号