启动项:9
说明:9
类型:注册表
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
命令行:C:\WINDOWS.1\system32\Ravdm.exe
产品名称:未知
发行商:未知
文件版本:未知
影响范围:所有用户
描述:9
建议:无
參考答案:Ravdm.exe Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案
病毒大小:21,453 字节
加壳方式:FSG
样本MD5:06645da7cf9bd48d724cc6a10feef6e5
关联病毒:
传播方式:通过恶意网站传播,通过其它病毒/木马下载
技术分析
==========
运行后复制自身到%System%\Ravdm.exe,释放驱动%System%\drivers\Rinld.sys。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
修改QQ目录下的TIMPlatform.exe,将TIMPlatform.exe改名为TIMPlatfrom.exe,复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe,使得QQ运行时病毒也会被激活。
清除步骤
==========
1. 删除病毒文件:
%System%\Ravdm.exe
%System%\drivers\Rinld.sys
2. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
3. 删除QQ目录下的TIMPlatform.exe,将TIMPlatfrom.exe改名为TIMPlatform.exe