科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道tel.xls.exe U盘病毒详细介绍

tel.xls.exe U盘病毒详细介绍

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍了有关U盘病毒tel.xls.exe 的特点及查杀方法。

作者:佚名 来源:51CTO.com 2008年10月22日

关键字: tel.xls.exe U盘病毒 防病毒

  • 评论
  • 分享微博
  • 分享邮件

  tel.xls.exe U盘病毒详细介绍

  病毒类型:木马

  影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

  病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。

  病毒表现:

  1.生成文件

  %systemroot%\SocksA.exe非系统盘下 tel.xls.exe和autorun.inf

  autorun.ini内容:

  [AutoRun]

  open=tel.xls.exe

  shellexecute=tel.xls.exe

  2.注册表

  (1)添加启动项

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  "ASocksrv" = "SocksA.exe"

  更改文件夹选项中显示隐藏文件的值

  HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F

  older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)

  感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。

  查杀方法

  1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用killbox选择重启删除,或进入安全模式删除。

  2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为noautorun.reg,导入注册表即可。

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

  "NoDriveTypeAutoRun"=dword:000000ff

  3.恢复显示所有的文件项:打开regedit,找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1。

  4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章