• 欢迎访问金刀客博客!
  • 2019,春节快乐!

“科多兽”蠕虫病毒的解决办法

病毒分析 admin 6901次浏览 已收录 0个评论

今天下午到实验室去,到旁边的实验室溜达,一去就被师兄抓去了.说正找我呢,电脑中毒了.
屁颠屁颠的跑到电脑前去.
本人习惯性动作是先清除系统垃圾和注册表垃圾,调出优化大师就扫.同时看看有没有什么异样的进程.一打开icesword就看见IE傻傻的再那里,我可是没打开网页的,不用想,中木马了.调出超级任务管理器,一看,是隐藏打开http://softd.ppandora.com/wm.htm.看来是个装满了下载者的网页,刷流量不会这样.
经过仔细的搜寻,找出2个木马,一个就是那该死的灰鸽子罗,500多k,IE游览器的图标, 傻蛋一样躺在那里,谁都知道.不过在这里倒挺会伪装的,
C:\WINDOWS\system32\Lcass.exe
C:\WINDOWS\system32\smiss.exe
在进程里得睁大眼睛才找的到.
用费尔把这2个干掉了.
重启,再开进程,发现那个ie还在,并且有个wowexec.tmp在那里,经过多次尝试,找了所有可能的启动,都没有发现问题,只是jpg,jpeg等一些格式的打开方式被修改成用iso.exe.
多次失败之后我突然想起很多程序都运行不了 ,是不是蠕虫啊,
上网一查,差点晕死,
C:\Documents and Settings\User\Local Settings\Temp\wowexec.tmp 不是典型的”科多兽”蠕虫病毒的特征嘛,
跑到金山,看了下科多兽的介绍,这是我第一次接触倒这个,只是我的这个网址变了,看来是变种,download下科多兽专杀工具,清除1600多个被感染的文件,至此,所有的麻烦解决.
把金山的”科多兽”的描述转来附后.
病毒行为:
这是一个蠕虫,感染改病毒的机器会尝试通过局域网传播,网内通过共享传播,IPC传播,打开指定网页,
下载带有病毒连接的网页,并且感染特定的脚本和exe文件.对用户的机器造成很大的危害.
1.添加互斥量:
“MediaSups”
2.从”Z”盘开始向下遍历所以的盘,查找一下文件进行感染.
“.htm”,
“.html”,
“.asp”,
“.aspx”,
“exe”,
排除含有一下字符的文件:
“WOW”,
“C:\\Win”
3.通过局域网内共享传播病毒,尝试简单的口令进程IPC连接.
4.访问网站:
http://wydos.3322.***/w*.htm”
5.在脚本文件的末尾加入一条iframe,地址为:
http://wydos.3322.***/w*.htm ”
专杀工具的下载地址http://down.www.kingsoft.com/db/download/othertools/DubaTool_Kodo.COM


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明“科多兽”蠕虫病毒的解决办法
喜欢 (5)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到