安全技巧之:新“飘雪”病毒的解决方案
近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询,这些用户尝试安装杀毒软件时,安装程序均立即被删除,Sreng重命名后运行也会被立即删除。 如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢?本文主要针对这些广大用户关注的疑点作出解释。病毒做了什么:
根据样本提取的情况看,该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。
病毒共性:
就毒霸客服提取的病毒样本看,中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件,同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。
执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名,如:rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。
该主文件写入的随机启动注册表位置如下:
页:
[1]