科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道蠕虫worm.VB.amp与XP的“系统还原”

蠕虫worm.VB.amp与XP的“系统还原”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

worm.VB.amp蠕虫的主体位于%system%\drivers文件夹内,共两个.exe文件:SREVICES.EXE和WINLOGON.EXE,文件的图标是“熊猫烧香”。外,此毒还在各分区根目录下释放autorun.inf和setup.exe。

作者:zdnet安全频道 来源:论坛整理 2008年6月3日

关键字: Xp 系统还原 蠕虫

  • 评论
  • 分享微博
  • 分享邮件
蠕虫worm.VB.amp与XP系统的“系统还原”
在“影子”环境中观察了一下:

此蠕虫的主体位于%system%\drivers文件夹内,共两个.exe文件:SREVICES.EXE和WINLOGON.EXE,文件的图标是“熊猫烧香”。
此外,此毒还在各分区根目录下释放autorun.inf和setup.exe;在系统文件夹以外的所有文件夹中搜索文件夹名,并建立与这些文件夹同名的.exe(与病毒主体文件相同),然后,再在各个文件夹中释放...exe、..exe、SYSTEM.INI,并将文件夹中不活动的.exe文件替换为病毒文件(原文件名不变)。
注册表改动见图1。
虽然可以在中毒环境下启动瑞星(rav.exe)全盘杀毒,但查杀速度异常缓慢,即使结束了病毒进程(图2),瑞星的杀毒速度也快不了多少。这蜗牛般的杀毒速度确实让人抓狂。

于是,想到了尝试用XP的“系统还原”解决.问题。

重启系统。

开启各个分区的“系统还原”。
先设置一个干净的还原点。
然后,运行这个蠕虫。
接下来的步骤是:
1、运行IceSword。用IceSword禁止进程创建,并结束病毒进程(图2)。
2、检查各个分区的“系统还原文件夹”,发现病毒副本——删除(图3)。
3、取消IceSword“禁止进程创建”,执行系统还原(图4-图6)。

40G的硬盘,两个分区。系统还原耗时两分钟左右。系统还原完成后,检查一下——系统是干净的。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章