h24arb 2008-6-24 18:12
转帖:警惕蠕虫病毒Worm.Win32.Downloader.pu
[align=center][align=center][b][font=宋体][size=15pt]警惕蠕虫病毒[/size][/font][/b][b][size=15pt]Worm.Win32.Downloader.pu[/size][/b][/align][/align][font=宋体]该病毒为[/font][font=宋体]蠕虫[/font][font=宋体]木马类,病毒运行获取系统进程,查找进程中是否存在[/font]AVP.exe[font=宋体](卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为[/font]2001[font=宋体]年,目的使卡巴主动失效,遍历[/font]System32[font=宋体]目录查找[/font]\s*st.exe[font=宋体]的文件,找到[/font]svchost.exe[font=宋体]文件后,创建一个进程并调用[/font]ReadProcessMemory[font=宋体]函数读写该进程内存,调用[/font]ZwUnmapViewOfSection[font=宋体]获取当前进程映射的基址,然后调用[/font]WriteProcessMemory[font=宋体]函数对内存地址写入病毒数据,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,连接网络读取列表下载大量恶意文件并运行[/font][font=宋体],[/font][font=宋体]给用户清除病毒带来极大的不便。[/font]
[b] [/b]
[b][font=宋体][size=9.0pt]清除方案:[/size][/font][/b][b][/b]
[b]1.
[/b][b][font=宋体]使用安天防线[/font][/b][b]2008[/b][b][font=宋体]可彻底清除此病毒[/font][/b][b]([/b][b][font=宋体]推荐[/font][/b][b])[/b][b][font=宋体]。[/font][/b][b][/b]
2.
[font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。[/font]
(1)
[font=宋体][size=9.0pt]使用[/size][/font]ATOOL“[font=宋体][size=9.0pt]进程管理[/size][/font]”[font=宋体][size=9.0pt]关闭病毒相关进程[/size][/font]
(2)
[font=宋体][size=9.0pt]删除病毒服务注册表项[/size][/font]
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
[color=black]
[/color][color=black][font=宋体]键值:[/font][/color][color=black]"[/color]Image File Execution Options[color=black]"
[/color]
[color=black]
[/color][color=black][font=宋体]删除注册表[/font][/color]Image File Execution Options[color=black][font=宋体]键值[/font][/color][color=black][/color]
[color=black] [/color]
[color=black][font=宋体]相关链接参见:[/font][/color][color=black][url=http://www.antiy.com/security/report/20080624.htm][color=#0000ff]http://www.antiy.com/security/report/20080624.htm[/color][/url][/color][color=black][/color]
[size=9pt] [/size]
[b][size=15pt] [/size][/b]