| 導購 | 订阅 | 在线投稿
分享
 
 
 

大蜘蛛提醒您小心「Windows更新」陷阱

來源:互聯網  2008-08-16 07:21:55  評論

最近不少用戶反映電腦中了一個貌似Windows更新程序的病毒,中招後很多殺毒軟件都束手就擒,右下角的殺軟圖標都乖乖退出,任由病毒肆意妄爲而無可奈何。唯有綠色大蜘蛛及時報警攔截病毒,像一個鋼鐵戰士忠實守衛在他的陣地上。

現在的病毒制造者愈發的猖獗和狡猾,不僅病毒破壞力越來越強,其在掩飾方面也是做足了功夫,此病毒就是將圖標僞裝成Windows更新程序並將其命名爲update.exe從而騙過各大網站和網民的眼睛,令其頻頻中招,給本已不平靜的互聯網又添波瀾。

大蜘蛛提醒廣大用戶:及時更新病毒庫,防止中招。

筆者簡單分析了此病毒的運行行爲,以供讀者參閱。

病毒樣本圖標如下圖:病毒程序及其屬性信息均模仿爲Windows更新程序。

大蜘蛛提醒您小心「Windows更新」陷阱

1.此病毒運行後啓動進程update.exe,釋放其本身及動態庫文件到系統路徑下並將屬性設置爲隱藏:

C:\WINDOWS\system32\wuauclt1.exe

C:\WINDOWS\system32\dllcache\wuauclt.exe

C:\WINDOWS\system32\w1ninet.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.859\update.EXE

2.修改注冊表導致無法顯示隱藏文件,從而達到隱藏本身的目的:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002

3.在各個磁盤根目錄下複制自身及autorun.inf,用戶每次雙擊打開磁盤,都會調用aoturun.inf運行病毒,同時複制病毒自身到U盤,達到通過U盤傳播的目的。

大蜘蛛提醒您小心「Windows更新」陷阱

4.然後將病毒文件寫入啓動項(這是一般病毒的常用技倆,用戶機器每次啓動時,病毒都會隨機啓動):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 「test」=C:\WINDOWS\system32\wuauclt1.exe

5.此病毒將系統時間調整爲四年前,導致很多殺毒軟件的許可文件失效,無法實現掃描功能,因此要遏制此病毒的爆發還是要依賴于殺毒軟件的監控能力。

大蜘蛛提醒您小心「Windows更新」陷阱

大蜘蛛監控程序在病毒運行的第一時間將其攔截,阻止其運行。如下圖:

大蜘蛛提醒您小心「Windows更新」陷阱

筆者提醒廣大用戶:Dr.Web大蜘蛛的中文官方網站有爲期90天的免費試用版下載。下載地址:http://www.drweb.com.cn/Download/DownView2.aspx

  最近不少用戶反映電腦中了一個貌似Windows更新程序的病毒,中招後很多殺毒軟件都束手就擒,右下角的殺軟圖標都乖乖退出,任由病毒肆意妄爲而無可奈何。唯有綠色大蜘蛛及時報警攔截病毒,像一個鋼鐵戰士忠實守衛在他的陣地上。   現在的病毒制造者愈發的猖獗和狡猾,不僅病毒破壞力越來越強,其在掩飾方面也是做足了功夫,此病毒就是將圖標僞裝成Windows更新程序並將其命名爲update.exe從而騙過各大網站和網民的眼睛,令其頻頻中招,給本已不平靜的互聯網又添波瀾。   大蜘蛛提醒廣大用戶:及時更新病毒庫,防止中招。   筆者簡單分析了此病毒的運行行爲,以供讀者參閱。   病毒樣本圖標如下圖:病毒程序及其屬性信息均模仿爲Windows更新程序。 [url=/bbs/detail_1846574.html][img]http://image.wangchao.net.cn/it/1323268860972.jpg[/img][/url]   1.此病毒運行後啓動進程update.exe,釋放其本身及動態庫文件到系統路徑下並將屬性設置爲隱藏:   C:\WINDOWS\system32\wuauclt1.exe   C:\WINDOWS\system32\dllcache\wuauclt.exe   C:\WINDOWS\system32\w1ninet.dll   C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.859\update.EXE   2.修改注冊表導致無法顯示隱藏文件,從而達到隱藏本身的目的:   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002   3.在各個磁盤根目錄下複制自身及autorun.inf,用戶每次雙擊打開磁盤,都會調用aoturun.inf運行病毒,同時複制病毒自身到U盤,達到通過U盤傳播的目的。 [url=/bbs/detail_1846574.html][img]http://image.wangchao.net.cn/it/1323268861100.jpg[/img][/url]   4.然後將病毒文件寫入啓動項(這是一般病毒的常用技倆,用戶機器每次啓動時,病毒都會隨機啓動):   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 「test」=C:\WINDOWS\system32\wuauclt1.exe   5.此病毒將系統時間調整爲四年前,導致很多殺毒軟件的許可文件失效,無法實現掃描功能,因此要遏制此病毒的爆發還是要依賴于殺毒軟件的監控能力。 [url=/bbs/detail_1846574.html][img]http://image.wangchao.net.cn/it/1323268861295.JPG[/img][/url]   大蜘蛛監控程序在病毒運行的第一時間將其攔截,阻止其運行。如下圖: [url=/bbs/detail_1846574.html][img]http://image.wangchao.net.cn/it/1323268861336.jpg[/img][/url]   筆者提醒廣大用戶:Dr.Web大蜘蛛的中文官方網站有爲期90天的免費試用版下載。下載地址:http://www.drweb.com.cn/Download/DownView2.aspx
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有