词条 | win.exe |
释义 | WIN.EXE或WIN是一种木马病毒的变种。 进程文件: win 或 win.exe 进程位置: windir 程序名称: W32/Sdbot-QI 程序用途: 蠕虫病毒,包含后门木马,远程控制。 程序作者: 系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否 安全等级: 低 进程分析: 该病毒修改注册表创建系统服务win-xp或NSCYM实现自启动win.exe,同时修改注册表创建系统服务COM+ System 或WindowsPigeon实现自注入病毒模块System Volume Information er.dll,病毒利用计算机网络与利用弱密码共享文件夹传播,包含的后门木马功能,能够让非法入侵者远程控制。病毒会尝试删除网络共享,参予Dos攻击,窃取计算机信息下载和管理档案,并可能窃取密码。病毒文件还可以是:stem.exe,scr.dll,expl0rer.exe,adg3.exe,ale.exe等,实际上是灰鸽子木马病毒的变种。 最近电脑突然卡,发现进程了多了很多个win.exe 感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀 瑞星报毒!!! 文件名称:AutoRun.exe、WIN.exe 文件大小:102400 byte AV命名: 江民:TrojanDownloader.Agent.uec 卡巴斯基:Virus.Win32.Downloader.ab 瑞星:Win32.Downloader.n NOD32:Win32/Mypis.J virus 行为分析: 1、 不释放任何副本和启动项,因为被感染的文件等同于病毒 2、查找可用磁盘,生成Autorun.exe和Autorun.inf。(未实现) 3、获取物理内存,可能作为隐藏进程用,不过没有实现。 4、保证一个互斥体,标志为“wokaon”避免多个病毒体在运行。 5、查找硬盘EXE和SCR文件并感染,首先跳过以下文件夹: WINDOWS WINNT RECYCLER $RECYCLE.BIN System Volume Information Config.Msi InstallShield Installation Information Internet Explorer Outlook Express NetMeeting Common Files Messenger Windows Media Player WinRAR MSOCache Documents and Settings 感染后的文件增加一区段,里面包含下载木马的命令,并修改入口点优先执行病毒。 6、查找"IEFrame" 类名窗口并关闭,可能导致一些浏览器被关闭。 7、连接网络,下载3个木马,并保存至本地为: c:\\Program Files\\Common Files\\m1.exe c:\\Program Files\\Common Files\\m2.exe c:\\Program Files\\Common Files\\m3.exe 测试时并没有实现。 解决方法: 专杀工具: http://www.antidu.cn/board/zsst/ 因为没有启动项,所以不需要文件和注册表 1、 删除各个盘符下的autorun.inf autorun.exe 2、清理磁盘上的所有临时文件。 3、下载杀软,全盘扫描,修改被感染过的文件。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。