常见病毒特证1:复制后粘贴出现Hello!
上一篇 / 下一篇 2008-11-28 11:07:13 / 个人分类:软件使用技巧
测试类型
- 类别:功能测试
9xoG/Rw
F0 [病毒名]:I-Worm.Wukill
L0ji4s1d0 病毒发病特征: 51Testing软件测试网!Up9{1p0N@
1.只在每月28号发病。 51Testing软件测试网,Z4R+g+lk.K
2.无法进行正常的复制、剪切、粘贴等与剪贴板有关的任何操作! 51Testing软件测试网tP} BiGW&p0[
3.如果是粘贴文本的话,会在粘贴处出现“hello”字样,而不是原文! 51Testing软件测试网7}9A%a)J
Y,V+^-{L[
51Testing软件测试网5Ut1AN/ry
[破坏方法]:这个病毒采用文件夹图标,具有很大迷惑性。该病毒运行后,会将自己大量复制到其他目录中。 51Testing软件测试网8U4~XV.]7eJo
z)C)G/ZZi.s%B+I5a0 一、病毒首次运行时将显示"This File Has Been Damage!"; 51Testing软件测试网D8b3UHN]
J
@uX9e+}(G&Nd(S.{G0 二、将自己复制到windows目录下并改名为Mstray.exe;
)M.W K-Ur3BB4E0
y#JS6s b!OZp9k3n*J0 三、修改注册表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
])\8Y yQ q0
*b3sNa,o@0 以达到其自启动的目的;
k7?0P9T5{KY}
|0 51Testing软件测试网n B6R%F6}\G.h%a1j
四、枚举磁盘目录,在每个根目录下释放下列文件:
'o-l}1Rk b0 51Testing软件测试网 y%z?(@l,Qw(D
winfile.exe,病毒主体程序 51Testing软件测试网R g(Lpca2_p
Oc-X
51Testing软件测试网-P7|}a_KQr
comment.htt,利用IE漏洞调用同一个目录下的"winfile.exe",属性为隐藏。 51Testing软件测试网1|d
q M e
51Testing软件测试网)@~:Lh|`6t
X A}*f
desktop.ini系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用comment.htt,从而激活病毒。 51Testing软件测试网 }eJ2h:rQE
51Testing软件测试网5U+{9]6k'qX&?\)Fs6U
五、病毒修改注册表,隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。
+hw o,sT zV Q3]F0 51Testing软件测试网2y|S&t~iO
这样,用户看不到comment.htt和Desktop.ini,winfile.exe被隐藏后缀明,又是文件夹图标,用户极容易认为是文件夹而点击。
AN$Y[1^q0
E#]{-H5I fc(K0 同时病毒在当前路径下生成的自身拷贝,名称采用上级目录,或者是当前窗口的标题,增加隐蔽性。 51Testing软件测试网)_7?)Q\:z/i-z7e5kM
F,vs%oe#Ypa0 六、病毒调用Outlook发送携带病毒的信件。
~4C0u*i:iIv8g0
(iBor&[+`%n0
E3G
]al0
4N'_0N'O&pI8O0 手工清除
Fz)E M
};z1iP0
^jM*{l7[0 找到Mstray.exe(注意这个是系统和隐藏的文件,在系统文件夹下找到它),删除掉.并修改注册表,去掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 下KI.exe和Mstray.exe启动项,接着:利用的Windows的搜索功能,搜索所有的:
^om s6L*D0 51Testing软件测试网.Lj hct
Winfile.exe,comment.htt,desktop.ini(;去掉文件系统保护,隐藏属性) 51Testing软件测试网O-n!Y?Y2IP#U
51Testing软件测试网8bfzH)r\7c
有些desktop.ini是windows原有的文件。
,Q8\Jhq;wm"b dX0
0?^"{f_H$pG&\%H0 最后:查找硬盘内所以的*.exe]文件, 你会发现好多的文件夹图标形式的.exe文件,删除掉所有这些文件
WE{
xE5q#A0
6~ S4@3~e5d0 worm.sober 病毒名称: Worm.Sober
2T4^%uNe0 中文名称: 清醒
6]$?}o'h6o R0 威胁级别: 3C 51Testing软件测试网O-`tJ(G9B4w
病毒类型: Worm 51Testing软件测试网y!@\w@c
受影响系统: Win9x/NT/2K/XP
I+Ea6?c0 病毒别名: 51Testing软件测试网"kC+|#Xz:o;kS.U*]k
I-Worm.Sober[AVP] 51Testing软件测试网.cB.TY7L g
W32.Sober@mm[Symantec] 51Testing软件测试网 V-J-j1I;o{
51Testing软件测试网a8}
a#V`Wq&yP3}z
51Testing软件测试网#?@h|(Upd;A
该蠕虫病毒会伪装成含反病毒软件的邮件,引诱户打开其附件。病毒激活后会在宿主机器上发送大量带毒邮件,大量浪费系统资源和网络资源。Sober病毒已在欧洲,尤其是英国和德国造成了巨大的影响。 51Testing软件测试网,SV"rL*SZ
51Testing软件测试网4Sj*r2I7O:l_xUgEc
技术特征:
;{gaW"ixVDy0
f(p+s o$mC0 1、自我复到系统目录(%system%),病毒复本的文件名为:
J$O"u,N9?~y0
$IPE5r5~
[
W'qD0 similare.exe 51Testing软件测试网
?C&aZ"Ve D&IF
systemchk.exe 51Testing软件测试网JIm[:l3}:X,H;N
winrea.exe
*|4p7Zgs0
I,b7x,p9~ h0 2、添加注册表启动项,以随机启动
x0n:j8B+K-Y9I^U X0
+y
KES6v%F0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 51Testing软件测试网:p
U\ iV H
_
"syspath" = "%System%\drv.exe" 51Testing软件测试网MV8[5VT#@P
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9c8gm:Wn c4s
G0 "syspath" = "%System%\drv.exe" 51Testing软件测试网"XV.lrG.v
\S+zR
.\Cmy|(qc2E0 3、通过邮件传播,邮件主题不定,正文为英文和德文文本,附件后缀可能为bat、com、exe、pif、scr。
Y["F4]t i2K0
9M0B0RM]J1J0 a、通常邮件主题和内容为“该邮件的附件为"Sobig-Worm"(“巨无霸”Worm.Sobig)病毒的清除工具”,以引诱用户打开其附件;
*KCn%DdIJ4QT0
1sn-s_{0 例如:
S"D3em
]jA!@1Zw0 Subject: New Sobig-Worm variation (please read) 51Testing软件测试网|k8J9NX.m
7Av ll3\;D+X%J+Q0 Body text: New Sobig variation in the net. 51Testing软件测试网~^-^cmj0L
You must change any settings before the worm control your computer!
Wq4{8x:?NaPXx)L0 But, read the official statement from Norton Anti Virus!
B7fTh]2j0 51Testing软件测试网R6`Cs9@Vv i4s
File attachment: NAV.pif 51Testing软件测试网7k'aoIu_
51Testing软件测试网P7J vS_.s R:yd-zu
b、染毒的邮件通常带有如下签名: 51Testing软件测试网K5}+GOtf
Automatic Mail notification: Robot-System__# 51Testing软件测试网z!i(U0U,b{
51Testing软件测试网wl
hZ Q~%N
c、病毒搜索后缀为“htt、rtf、doc、xls、ini、mdb、txt、htm、html、wab、pst、fdb、cfg、ldb、eml、abc、ldif、nab、adp、mdw、mda、mde、ade、sln、dsw、dsp、vap、php、asp、shtml、shtm”文件中的邮件地址,并发送带毒文件给他们。 51Testing软件测试网Bp5h%g$Y5@d
eC'bxZA,z.\'oa0 解决方案: 51Testing软件测试网4~}g"AhZrPZ,Y
l6m5h)J)w x%P?0 如果您的系统突然速度下降,或是在打开某一程序时,弹出下图中的对话框,则您的系统有可能中了“清醒”蠕虫病毒了,请采用以下方法查杀:
%YEd+A7K7D!a0
hgI5y#}:O4to0 1、请升级您的金山毒霸到10月30日的版本,既可完全查杀该病毒; 51Testing软件测试网&d
NA`Lk8n;W/G9T
2、请不要相信以任何名义来发送反病毒工具的邮件,此次特别是针对“巨无霸”(Worm.Sobig)病毒的工具; 51Testing软件测试网9@d;l1_nh
3、手工清除方法:
_t:m
f!{,je#O'Q0 51Testing软件测试网nS.? TC
] m%U2l
对于WIN9X用户可以在纯DOS模式下删除以下病毒文件: