警惕蠕虫木马类病毒Worm.Win32.Downloader.nm
Worm.Win32.Downloader.nm
为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe
(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001
年,目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,遍历System32
目录查找\s*st.exe
的文件,找到svchost.exe
文件后,创建一个进程并调用ReadProcessMemory
函数读写该进程内存,调用ZwUnmapViewOfSection
获取当前进程映射的基址,然后调用WriteProcessMemory
函数对内存地址写入病毒数据,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
清除方案:
1.
使用安天木马防线可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)
使用ATOOL“
进程管理”
关闭病毒相关进程
(2)
删除病毒服务注册表项
1.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MHFP\0000\Service]
键值:" Mhfp"
删除Mhfp键值
2.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
键值:"Mhfp"
删除Mhfp键值
3.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion]
键值:"Image File Execution Options
"
删除注册表Image File Execution Options
键值
相关链接参见:http://www.antiy.com/security/report/20080603.htm
