browser icon
You are using an insecure version of your web browser. Please update your browser!
Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.

3448病毒的清除

Posted by on 2006 年 10 月 26 日

你可以任意转载本文,但请在转载后的文章中注明作者和原始链接。
媒体约稿请联系 titilima_AT_163.com(把“_AT_”换成“@”)。

发作分析

1. 从网页上下载一个11.jpg至本地临时文件夹,此文件为一个dll文件,随即被插入至当前系统各个进程中。
2. 11.jpg将自己复制至Windows的system32文件夹下,重命名为zpj93.dll。目前尚不清楚以上的11.jpg、zpj93.dll是否为自动生成的文件名。
3. 在注册表的自动运行中写入名为tj的字符串项,使每次系统启动时调用Rundll32.exe运行之。
4. 当系统运行360safe或其它带有kill名称的进程时,将计算机关闭。目前尚不清楚此病毒是否还会照此屏蔽其它的文件名。
5. 将IE的首页及搜索页设置为http://www.3448.com。

清除方法

1. 由于不清楚此病毒是否会将自身改名,所以可先使用July的模块搜索功能搜索zpj93.dll,如果发现此dll位于每个进程中,则可以直接跳至第3步。
2. 如果此病毒在感染时会将自己随即改名,则需要观察July加载的各模块,发现可疑模块则跳到第1步,直至找到真正的病毒dll。
3. 使用KillBox,选择启动后删除此dll。为防止此病毒进行恶意屏蔽,可在启动KillBox之前将其改名,比如1.exe。
4. 删除重启后可启动360safe,将启动项、IE首页、搜索页修复。

评价

作为一个病毒,如果太重视排斥异己的话,无疑等于把自己暴露在公众的枪口下。所以,病毒作者是一个自负的二逼青年,鉴定完毕。

订阅本站

21 Comments

  • At 2008.07.17 00:46, 香儿如梦 said:

    呵呵,小病毒.
    不过,马兄的话很重要:”过于排斥异己,无异于曝己于众矢之的”,我相信主要是思维不同,病毒作者是想求得一鸣惊人,痛斩痛杀的快感,而作为间谍类编程人员来讲,才会在”隐而又隐”上大作文章,总之,出发点不同而已.
    也正因为病毒的这种过度暴露,才会让我们较快地发现并清除.

    (Required)
    (Required, will not be published)