请输入您要查询的百科知识:

 

词条 win.exe
释义

WIN.EXE或WIN是一种木马病毒的变种。

进程文件: win 或 win.exe

进程位置: windir

程序名称: W32/Sdbot-QI

程序用途: 蠕虫病毒,包含后门木马,远程控制。

程序作者:

系统进程: 否

后台程序: 是

使用网络: 是

硬件相关: 否

安全等级: 低

进程分析: 该病毒修改注册表创建系统服务win-xp或NSCYM实现自启动win.exe,同时修改注册表创建系统服务COM+ System 或WindowsPigeon实现自注入病毒模块System Volume Information er.dll,病毒利用计算机网络与利用弱密码共享文件夹传播,包含的后门木马功能,能够让非法入侵者远程控制。病毒会尝试删除网络共享,参予Dos攻击,窃取计算机信息下载和管理档案,并可能窃取密码。病毒文件还可以是:stem.exe,scr.dll,expl0rer.exe,adg3.exe,ale.exe等,实际上是灰鸽子木马病毒的变种。

最近电脑突然卡,发现进程了多了很多个win.exe

感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀

瑞星报毒!!!

文件名称:AutoRun.exe、WIN.exe

文件大小:102400 byte

AV命名:

江民:TrojanDownloader.Agent.uec

卡巴斯基:Virus.Win32.Downloader.ab

瑞星:Win32.Downloader.n

NOD32:Win32/Mypis.J virus

行为分析:

1、 不释放任何副本和启动项,因为被感染的文件等同于病毒

2、查找可用磁盘,生成Autorun.exe和Autorun.inf。(未实现)

3、获取物理内存,可能作为隐藏进程用,不过没有实现。

4、保证一个互斥体,标志为“wokaon”避免多个病毒体在运行。

5、查找硬盘EXE和SCR文件并感染,首先跳过以下文件夹:

WINDOWS

WINNT

RECYCLER

$RECYCLE.BIN

System Volume Information

Config.Msi

InstallShield Installation Information

Internet Explorer

Outlook Express

NetMeeting

Common Files

Messenger

Windows Media Player

WinRAR

MSOCache

Documents and Settings

感染后的文件增加一区段,里面包含下载木马的命令,并修改入口点优先执行病毒。

6、查找"IEFrame" 类名窗口并关闭,可能导致一些浏览器被关闭。

7、连接网络,下载3个木马,并保存至本地为:

c:\\Program Files\\Common Files\\m1.exe

c:\\Program Files\\Common Files\\m2.exe

c:\\Program Files\\Common Files\\m3.exe

测试时并没有实现。

解决方法:

专杀工具: http://www.antidu.cn/board/zsst/

因为没有启动项,所以不需要文件和注册表

1、 删除各个盘符下的autorun.inf autorun.exe

2、清理磁盘上的所有临时文件。

3、下载杀软,全盘扫描,修改被感染过的文件。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 13:06:11