§ Ravdm.exe

Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案

病毒大小：21,453 字节

加壳方式：FSG

样本MD5：06645da7cf9bd48d724cc6a10feef6e5

关联病毒：

传播方式：通过恶意网站传播，通过其它病毒/木马

§ 技术分析

==========

运行后复制自身到%System%\\Ravdm.exe，释放驱动%System%\\drivers\\Rinld.sys。

创建启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run】

"9"="%System%\\Ravdm.exe"

修改QQ目录下的TIMPlatform.exe，将TIMPlatform.exe改名为TIMPlatfrom.exe，复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe，使得QQ运行时病毒也会被激活。

清除步骤

==========

1. 删除病毒文件：

%System%\\Ravdm.exe

%System%\\drivers\\Rinld.sys

2. 删除病毒创建的启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run】

"9"="%System%\\Ravdm.exe"

3. 删除QQ目录下的TIMPlatform.exe，将TIMPlatfrom.exe改名为TIMPlatform.exe　

• 济南动物园
• 济南化肥厂有限责任公司
• 济南十一中学
• 济南十三中
• 济南十三中学
• 济南南上山街小学
• 济南南站
• 济南号
• 济南合成纤维厂
• 济南商业银行
• 济南嘹号
• 济南回民中学
• 济南国棉二厂医院
• 济南国际会展中心
• 济南圣泉
• 济南地铁
• 济南大学体育学院
• 济南大学信息科学与工程学院
• 济南大学化学化工学院
• 济南大学土木建筑学院
• 海米菠菜粥
• 海素
• 海索苯定
• 海索那林
• 海索面目