关于穿透还原软件的病毒.exe
最近,可能有些无聊者跟着机器狗瞎起哄。也玩儿什么“穿透还原”之类的把戏。类似的DD见过4个了。
这类所谓穿透还原的病毒,实际上就是那个病毒主体程序可以穿透影子系统一类的软件。至于它下载的那些病毒,目前没见到一个可以穿透还原软件的。
今天这个.exe感染系统的过程大致是这样的:
1、在C:\Documents and Settings\All Users\「开始」菜单\程序\启动\目录下释放病毒文件.exe(这个程序可以穿透影子系统)。
2、在当前用户临时文件夹中释放一个~49.tmp并运行(49是随机可变的数字);~49.tmp运行后即刻自动删除自身。
3、访问网络。下载一个名为1.exe的病毒程序。
4、1.exe运行后,在system32文件夹中释放一个explorer.exe和一个netsvr.dll。
5、在系统根目录下释放一个_uninsep.bat。这个.bat负责删除那个1.exe。
system32文件夹中explorer.exe和netsvr.dll可即刻删除。
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.exe,重启后可用IceSword强制删除。
如果XP系统用户的“软件限制策略”中已经设置了图1所示的规则,这DD根本就没戏。
