针对硬盘不能双击打开右键出现autoruan类似问题总结(3)
%System%spollsv.exe (61,440 bytes)
%SysDir%IEXPLORE.EXE
%SysDir%kernel66.dll
%SysDir%RAVMOND.exe
%WinDir%SYSTRA.EXE
%SysDir%msjdbc11.dll
%SysDir%MSSIGN30.DLL
%SysDir%ODBC16.dll
%System%LMMIB20.DLL
C:COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)
二、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
email
book
letter
important
三、更改注册表,机器启动时自动加载运行病毒程序
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Program In
Windows" = %SysDir%IEXPLORE.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionunServices
"SystemTra" = %WinDir%SysTra.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。
四、自动生成和加载三个服务
1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices\_reg
描述:提供后门服务
2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows
3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager
相关新闻>>
- 发表评论
-
- 最新评论 更多>>