木马下载器(WinInfo.rxk WinInfo.bak)病毒解决方案
病毒名称:N/A(Kaspersky)
加壳方式:UPX
传播方式:通过恶意网页传播、其它木马下载
技术分析:
运行后复制自身到:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
在相同目录下释放WinInfo.rxk,注入Explorer.exe进程:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
创建启动信息,通过ShellExecuteHooks启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32] @="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"
尝试访问网络下载其它病毒、木马或其它恶意程序。
清除步骤:
1. 删除病毒创建的ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"
[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]
2. 重新启动计算机
3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
相关文章:
- [2017年05月14日]勒索病毒肆虐,带给我们怎样的反思?
- [2014年03月06日]新电脑病毒“空气”传播近距离感染
- [2012年10月18日]盘点史上最火爆的五次黑客攻击
- [2012年06月05日]火焰病毒
- [2011年12月17日]警惕摆渡病毒:不知不觉窃走你的隐私
- [2011年11月18日]几种常见CAD lisp病毒查杀方法
- [2011年11月18日]关于lisp病毒的清除方法
- [2011年10月16日]病毒软件诈骗帝国:恐吓软件刺激疯狂销售
- [2011年08月28日]轻松搞定病毒之病毒的防治策略
- [2011年08月28日]“恶邮差”病毒死灰复燃 变种突袭杀毒软件
