扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
如果系统是Vista,会添加一个服务启动项: Windows Tribute Service
4.Hook下列函数,隐藏病毒文件 NtSetValueKey NtResumeThread NtQueryDirectoryFile NtDeleteValueKey OpenProcess DebugActiveProcess 5:将病毒代码注入到其他的系统进程中执行,被注入代码的、进程的头部+Ch处,有"PE"的标记。 尝试注入的进程有explorer.exe,csrss.exe,runonce.exe,service.exe等等 注入代码包括循环添加注册表启动项,循环修改DNS服务器设置; 连接远端地址64.*8.1*8.2*1,执行其他的黑客行为,盗取信息,下载; 检查到浏览器iexplore.exe时,hook下列Api:HttpSendRequestA,RegisterBindStatusCallback,recv 检查到浏览器firefox.exe的话,hook下列Api:recv 6:结束自身进程 保留一个打开的句柄在csrss.exe中,防止自身被删除 病毒通过以上技术进行隐藏,通常资源管理器搜索,是找不到病毒生成的kd*.exe文件的。 解决方案: 1.使用金山系统急救箱,完成扫描分析后,一次重启就可以解决 金山系统急救箱可以访问http://bbs.duba.net/thread-21988813-1-1.html下载 2.及时升级毒霸病毒库防止受此病毒病毒骚扰 3.手工解决 使用冰刃的文件管理找到c:\windows\system32\kd*.exe,将其删除。注意:系统自带的文件管理器是看不到这些隐藏的病毒文件的,即使修改文件夹选项为查看隐藏文件也无济于事。 使用冰刃内置的注册表编辑器,浏览到 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon system HKLM\Software\Microsoft\Windows\CurrentVersion run 删除病毒添加的注册表键,再重启电脑 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。