【方案】Worm.Win32.AutoRun.lmx行为处理
病毒名称:Kaspersky:Worm.Win32.AutoRun.lmx
NOD32:probably a variant of Win32/Mypis.AH
病毒行为:
注:本分析为多次运行测试结果汇总 因此时间可能会混乱
运行后向font目录创建exe 2009-04-06 19:42:35 创建文件
进程路径:E:\KIA\6\6.exe
文件路径:C:\WINDOWS\Fonts\16e93b1f2daa6a27625f1bfc712ef91a\system\ctfmn.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe删除自身 2009-04-06 19:43:30 运行应用程序
进程路径:E:\KIA\6\6.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c erase /A:RHSA "E:\KIA\6\6.exe"&cmd /c del "E:\KIA\6\6.exe"
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe进行映像劫持 2009-04-06 19:43:35 创建注册表值
进程路径:C:\WINDOWS\Fonts\16e93b1f2daa6a27625f1bfc712ef91a\system\ctfmn.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo_1.exe
注册表名称:[Key]
触发规则:所有程序规则->系统设置->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*
关键行为:
向系统目录创建exe
创建映像劫持
向安全进程发送消息
修改exe
防范对策:
使用HIPS阻止陌生程序向系统目录创建exe
使用HIPS阻止陌生程序创建映像劫持
使用HIPS阻止陌生程序向安全进程发送消息
使用HIPS阻止陌生程序修改exe
用我的杀不了,你杀了我
你的电脑中了玩固的木马病毒
用专门杀玩固病毒的
100%搞定方案:
1用顶级玩固木马专杀:http://www.360.cn/killer/360compkill.html
下载的文件会提示你360打不开怎么办,要把下载的文件改下名.请看图片:下载的玩固木马专杀文件夹,里面的文件有叫你改名:
打开后,必须勾选强力查杀,查杀完后,再下载小红伞9.0版本中文版,
2配合用国外的“小红伞”杀毒
不用急,你下个大蜘蛛,一杀就行,我就是那样!!绝对行!!
用冰刃+卡巴.....
一定杀的了.....
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024