功能测试 性能测试 安全测试 质量管理 配置管理 测试管理
TD |QC|QTP|LR
常见病毒特证1:复制后粘贴出现Hello!
上一篇 /
下一篇 2008-11-28 11:07:13
/ 个人分类:软件使用技巧
9x�o�G/R�w
F0 [病毒名]:I-Worm.Wukill
�L0j�i4s1d0 病毒发病特征: 51Testing软件测试网!U�p9{1p0N�@
1.只在每月28号发病。 51Testing软件测试网,Z4R+g+l�k.K
2.无法进行正常的复制、剪切、粘贴等与剪贴板有关的任何操作! 51Testing软件测试网�t�P�} B�i�G�W&p0[
3.如果是粘贴文本的话,会在粘贴处出现“hello”字样,而不是原文! 51Testing软件测试网7}9A%a)J
Y,V+^-{�L�[
51Testing软件测试网5U�t1A�N/r�y
[破坏方法]:这个病毒采用文件夹图标,具有很大迷惑性。该病毒运行后,会将自己大量复制到其他目录中。 51Testing软件测试网8U4~�X�V.]7e�J�o
�z)C)G/Z�Z�i.s%B+I5a0 一、病毒首次运行时将显示"This File Has Been Damage!"; 51Testing软件测试网�D8b3U�H�N�]
J
�@�u�X9e+}(G&N�d(S.{�G0 二、将自己复制到windows目录下并改名为Mstray.exe;
)M.W�K-U�r3B�B4E0
�y#J�S6s b!O�Z�p9k3n*J0 三、修改注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
�])\8Y�y�Q q0
*b3s�N�a,o�@0 以达到其自启动的目的;
�k7?0P9T5{�K�Y�}
|0 51Testing软件测试网�n�B6R%F6}�\�G.h%a1j
四、枚举磁盘目录,在每个根目录下释放下列文件:
'o-l�}1R�k b0 51Testing软件测试网�y%z�?(@�l,Q�w(D
winfile.exe,病毒主体程序 51Testing软件测试网�R g(L�p�c�a2_�p
O�c-X
51Testing软件测试网-P7|�}�a�_�K�Q�r
comment.htt,利用IE漏洞调用同一个目录下的"winfile.exe",属性为隐藏。 51Testing软件测试网1|�d
q M e
51Testing软件测试网)@�~:L�h�|�`6t
X A�}*f
desktop.ini系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用comment.htt,从而激活病毒。 51Testing软件测试网 }�e�J2h:r�Q�E
51Testing软件测试网5U+{9]6k'q�X&?�\)F�s6U
五、病毒修改注册表,隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。
+h�w o,s�T z�V Q3]�F0 51Testing软件测试网2y�|�S&t�~�i�O
这样,用户看不到comment.htt和Desktop.ini,winfile.exe被隐藏后缀明,又是文件夹图标,用户极容易认为是文件夹而点击。
A�N$Y�[1^�q0
�E#]�{-H5I f�c(K0 同时病毒在当前路径下生成的自身拷贝,名称采用上级目录,或者是当前窗口的标题,增加隐蔽性。 51Testing软件测试网)_7?)Q�\:z/i-z7e5k�M
�F,v�s%o�e#Y�p�a0 六、病毒调用Outlook发送携带病毒的信件。
�~4C0u*i:i�I�v8g0
(i�B�o�r&[+`%n0
�E3G
]�a�l0
4N'_0N'O&p�I8O0 手工清除
F�z)E M
};z1i�P0
�^�j�M*{�l7[0 找到Mstray.exe(注意这个是系统和隐藏的文件,在系统文件夹下找到它),删除掉.并修改注册表,去掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下KI.exe和Mstray.exe启动项,接着:利用的Windows的搜索功能,搜索所有的:
^�o�m s6L*D0 51Testing软件测试网.L�j h�c�t
Winfile.exe,comment.htt,desktop.ini(;去掉文件系统保护,隐藏属性) 51Testing软件测试网�O-n!Y�?�Y2I�P#U
51Testing软件测试网8b�f�z�H)r�\7c
有些desktop.ini是windows原有的文件。
,Q8\�J�h�q;w�m"b�d�X0
0?�^"{�f�_�H$p�G&\%H0 最后:查找硬盘内所以的*.exe]文件, 你会发现好多的文件夹图标形式的.exe文件,删除掉所有这些文件
�W�E�{
x�E5q#A0
6~ S4@3~�e5d0 worm.sober 病毒名称: Worm.Sober
2T4^%u�N�e0 中文名称: 清醒
6]$?�}�o'h6o R0 威胁级别: 3C 51Testing软件测试网�O-`�t�J(G9B4w
病毒类型: Worm 51Testing软件测试网�y!@�\�w�@�c
受影响系统: Win9x/NT/2K/XP
�I+E�a6?�c0 病毒别名: 51Testing软件测试网"k�C+|#X�z:o;k�S.U*]�k
I-Worm.Sober[AVP] 51Testing软件测试网.c�B.T�Y7L g
W32.Sober@mm[Symantec] 51Testing软件测试网 V-J-j1I;o�{
51Testing软件测试网�a8}
a#V�`�W�q&y�P3}�z
51Testing软件测试网#?�@�h�|(U�p�d;A
该蠕虫病毒会伪装成含反病毒软件的邮件,引诱户打开其附件。病毒激活后会在宿主机器上发送大量带毒邮件,大量浪费系统资源和网络资源。Sober病毒已在欧洲,尤其是英国和德国造成了巨大的影响。 51Testing软件测试网,S�V"r�L*S�Z
51Testing软件测试网4S�j*r2I7O:l�_�x�U�g�E�c
技术特征:
;{�g�a�W"i�x�V�D�y0
�f(p+s o$m�C0 1、自我复到系统目录(%system%),病毒复本的文件名为:
J$O"u,N9?�~�y0
$I�P�E5r5~
[
W'q�D0 similare.exe 51Testing软件测试网
?�C&a�Z"V�e D&I�F
systemchk.exe 51Testing软件测试网�J�I�m�[:l3}:X,H;N
winrea.exe
*|4p7Z�g�s0
�I,b7x,p9~ h0 2、添加注册表启动项,以随机启动
�x0n:j8B+K-Y9I�^�U�X0
+y
K�E�S6v%F0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 51Testing软件测试网:p
U�\ i�V H
_
"syspath" = "%System%\drv.exe" 51Testing软件测试网�M�V8[5V�T#@�P
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9c8g�m:W�n c4s
G0 "syspath" = "%System%\drv.exe" 51Testing软件测试网"X�V.l�r�G.v
\�S+z�R
.\�C�m�y�|(q�c2E0 3、通过邮件传播,邮件主题不定,正文为英文和德文文本,附件后缀可能为bat、com、exe、pif、scr。
�Y�["F4]�t�i2K0
9M0B0R�M�]�J1J0 a、通常邮件主题和内容为“该邮件的附件为"Sobig-Worm"(“巨无霸”Worm.Sobig)病毒的清除工具”,以引诱用户打开其附件;
*K�C�n%D�d�I�J4Q�T0
1s�n-s�_�{0 例如:
S"D3e�m
]�j�A!@1Z�w0 Subject: New Sobig-Worm variation (please read) 51Testing软件测试网�|�k8J9N�X.m
7A�v l�l3\;D+X%J+Q0 Body text: New Sobig variation in the net. 51Testing软件测试网�~�^-^�c�m�j0L
You must change any settings before the worm control your computer!
�W�q4{8x:?�N�a�P�X�x)L0 But, read the official statement from Norton Anti Virus!
�B7f�T�h�]2j0 51Testing软件测试网�R6`�C�s9@�V�v i4s
File attachment: NAV.pif 51Testing软件测试网7k'a�o�I�u�_
51Testing软件测试网�P7J v�S�_.s R:y�d-z�u
b、染毒的邮件通常带有如下签名: 51Testing软件测试网�K5}+G�O�t�f
Automatic Mail notification: Robot-System__# 51Testing软件测试网�z!i(U0U,b�{
51Testing软件测试网�w�l
h�Z�Q�~%N
c、病毒搜索后缀为“htt、rtf、doc、xls、ini、mdb、txt、htm、html、wab、pst、fdb、cfg、ldb、eml、abc、ldif、nab、adp、mdw、mda、mde、ade、sln、dsw、dsp、vap、php、asp、shtml、shtm”文件中的邮件地址,并发送带毒文件给他们。 51Testing软件测试网�B�p5h%g$Y5@�d
�e�C'b�x�Z�A,z.\'o�a0 解决方案: 51Testing软件测试网4~�}�g"A�h�Z�r�P�Z,Y
�l6m5h)J)w�x%P�?0 如果您的系统突然速度下降,或是在打开某一程序时,弹出下图中的对话框,则您的系统有可能中了“清醒”蠕虫病毒了,请采用以下方法查杀:
%Y�E�d+A7K7D!a0
h�g�I5y#}:O4t�o0 1、请升级您的金山毒霸到10月30日的版本,既可完全查杀该病毒; 51Testing软件测试网&d
N�A�`�L�k8n;W/G9T
2、请不要相信以任何名义来发送反病毒工具的邮件,此次特别是针对“巨无霸”(Worm.Sobig)病毒的工具; 51Testing软件测试网9@�d;l1_�n�h
3、手工清除方法:
�_�t:m
f!{,j�e#O'Q0 51Testing软件测试网�n�S.? T�C
] m%U2l
对于WIN9X用户可以在纯DOS模式下删除以下病毒文件:
�T2k:f6u2H1B0 %system%\similare.exe
#}2o7t K�R�K0 %system%\systemchk.exe
,U�V�l�|�M9g�v�G�[0 %system%\winrea.exe
&Z�h�Q�f�R�m:j+u0
4k�T0F"W�J�O�U�w1Z0 对于Win2000/WinXP用户,请使用进程管理器结束名为:“similare.exe、systemchk.exe、winrea.exe”的进程,然后删除以下文件:
3I�[4`�X+B�{5v0 51Testing软件测试网2p,l�N a,b�N,y�^!g4U�?
%system%\similare.exe
`0R9F�x6w�Q0 %system%\systemchk.exe 51Testing软件测试网1W1D(U�{,z�?6L
%system%\winrea.exe 51Testing软件测试网�n$Q�D�r9S�h�L
51Testing软件测试网�w J�V�f�U
删除病毒在注册表中添加的启动项目:
(z�I:v)o�x%H0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 51Testing软件测试网8g&s�A�C�v�n�M�\�Z
"syspath" = "%System%\drv.exe"
�g�I;z�L4p�|5w�M0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2o�B9Q7Y�U+F3^4p:r0 "syspath" = "%System%\drv.exe"51Testing软件测试网�B;[�~9t)[�N
51Testing软件测试网4p�l6@�j,X(n�I�Q�P�o�e3q解决方法2:51Testing软件测试网�V�_�B s%C�U A!C%P
&u(l3O�z�b"]0手工杀毒:在进程中直接中止KI.exe或Mstray.exe进程,然后搜索硬盘上所有WINFILE.EXE文件,删除!(这样就恢复正常了)最后在MSCONFIG中去掉KI.exe或Mstray.exe启动项!重启机器即可!(这样以后就不会再发病了)。 51Testing软件测试网&h�d6m�s;E1A�}:F�D
51Testing软件测试网�D-^;a�`&|5p'm
收藏
举报
TAG:
功能测试
