§ Ravdm.exe

Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案

病毒大小：21,453 字节

加壳方式：FSG

样本MD5：06645da7cf9bd48d724cc6a10feef6e5

关联病毒：

传播方式：通过恶意网站传播，通过其它病毒/木马

§ 技术分析

==========

运行后复制自身到%System%\\Ravdm.exe，释放驱动%System%\\drivers\\Rinld.sys。

创建启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run】

"9"="%System%\\Ravdm.exe"

修改QQ目录下的TIMPlatform.exe，将TIMPlatform.exe改名为TIMPlatfrom.exe，复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe，使得QQ运行时病毒也会被激活。

清除步骤

==========

1. 删除病毒文件：

%System%\\Ravdm.exe

%System%\\drivers\\Rinld.sys

2. 删除病毒创建的启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run】

"9"="%System%\\Ravdm.exe"

3. 删除QQ目录下的TIMPlatform.exe，将TIMPlatfrom.exe改名为TIMPlatform.exe　

• 龙辔
• 龙运卿烈士
• 龙运巴士
• 龙进开烈士
• 龙连发烈士
• 龙连寿
• 龙连生烈士
• 龙连芳烈士
• 龙迪猷
• 龙退
• 龙逄
• 龙透关
• 龙造寺隆信
• 龙道
• 龙道美烈士
• 龙邮票
• 龙郁生
• 龙都战斗
• 龙酹
• 龙里巫山岩画群
• 龙里新庄古人类活动遗址
• 龙里猴子沟
• 龙里站
• 龙野
• 龙金开烈士