警惕“Windows更新”陷阱 病毒借机传播
来自:MACD论坛(bbs.macd.cn)
作者:guyou888
浏览:2472
回复:4
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
最近不少用户反映电脑中了一个貌似Windows更新程序的病毒,中招后很多杀毒软件都束手就擒,右下角的杀软图标都乖乖退出,任由病毒肆意妄为而无可奈何。这次绿色大蜘蛛倒是幸免于难,并且及时报警拦截了病毒。 现在的病毒制造者愈发的猖獗和狡猾,不仅病毒破坏力越来越强,其在掩饰方面也是做足了功夫,此病毒就是将图标伪装成Windows更新程序并将其命名为update.exe从而骗过各大网站和网民的眼睛,令其频频中招,给本已不平静的互联网又添波澜。 请广大用户及时更新病毒库,防止中招。 笔者简单分析了此病毒的运行行为,以供读者参阅。 病毒样本图标如下图:病毒程序及其属性信息均模仿为Windows更新程序 1.此病毒运行后启动进程update.exe,释放其本身及动态库文件到系统路径下并将属性设置为隐藏: C:\WINDOWS\system32\wuauclt1.exe C:\WINDOWS\system32\dllcache\wuauclt.exe C:\WINDOWS\system32\w1ninet.dll C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.859\update.EXE 2.修改注册表导致无法显示隐藏文件,从而达到隐藏本身的目的: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0x00000002 3.在各个磁盘根目录下复制自身及autorun.inf,用户每次双击打开磁盘,都会调用aoturun.inf运行病毒,同时复制病毒自身到U盘,达到通过U盘传播的目的; 4.然后将病毒文件写入启动项(这是一般病毒的常用技俩,用户机器每次启动时,病毒都会随机启动): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run “test”=C:\WINDOWS\system32\wuauclt1.exe 5.此病毒将系统时间调整为四年前,导致很多杀毒软件的许可文件失效,无法实现扫描功能,因此要遏制此病毒的爆发还是要依赖于杀毒软件的监控能力。 大蜘蛛监控程序在病毒运行的第一时间将其拦截,阻止其运行。如下图: |