worm.VB.amp蠕虫的主体位于%system%\drivers文件夹内,共两个.exe文件:SREVICES.EXE和WINLOGON.EXE,文件的图标是“熊猫烧香”。外,此毒还在各分区根目录下释放autorun.inf和setup.exe。
蠕虫worm.VB.amp与XP系统的“系统还原”
在“影子”环境中观察了一下:
此蠕虫的主体位于%system%\drivers文件夹内,共两个.exe文件:SREVICES.EXE和WINLOGON.EXE,文件的图标是“熊猫烧香”。
此外,此毒还在各分区根目录下释放autorun.inf和setup.exe;在系统文件夹以外的所有文件夹中搜索文件夹名,并建立与这些文件夹同名的.exe(与病毒主体文件相同),然后,再在各个文件夹中释放...exe、..exe、SYSTEM.INI,并将文件夹中不活动的.exe文件替换为病毒文件(原文件名不变)。
注册表改动见图1。
虽然可以在中毒环境下启动瑞星(rav.exe)全盘杀毒,但查杀速度异常缓慢,即使结束了病毒进程(图2),瑞星的杀毒速度也快不了多少。这蜗牛般的杀毒速度确实让人抓狂。
于是,想到了尝试用XP的“系统还原”解决.问题。
重启系统。
开启各个分区的“系统还原”。
先设置一个干净的还原点。
然后,运行这个蠕虫。
接下来的步骤是:
1、运行IceSword。用IceSword禁止进程创建,并结束病毒进程(图2)。
2、检查各个分区的“系统还原文件夹”,发现病毒副本——删除(图3)。
3、取消IceSword“禁止进程创建”,执行系统还原(图4-图6)。
40G的硬盘,两个分区。系统还原耗时两分钟左右。系统还原完成后,检查一下——系统是干净的。