 |
警惕木马Dropper病毒链接非法网站 |
|
|
| 警惕木马Dropper病毒链接非法网站 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-22 10:31:18 |
|
Trojan-Dropper.Win32.Agent该病毒运行后,衍生病毒文件到系统目录下。添加注册表启动项,以达到开机加载病毒体的目的。连接某网址:update.*****.cn(***.208.170.72) ,jump.*****.cn:80(***.241.97.33)。下载病毒文件到本机运行,添加系统服务项,插入IE的BHO对象。并衍生文件到%System32/Drivers%目录下,造成卸载困难。
清除方案:
1、建议使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
cdnup.exe
(2) 删除病毒衍生文件
%Program Files%/CNNIC/
%WINDOWS/system32%/cdndisp.tmp
%WINDOWS/system32%/cdnns.dll
%WINDOWS/system32%/cdnprot.dat
%WINDOWS/system32/drivers%/cdnprot.sys
%Documents and Settings/用户名/Local Settings/Temp/%1C/
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/CdnCtr 键值: 字符串:"%ProgramFiles%/CNNIC/Cdn/cdnup.exe"
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects 键值: 字符串: “%programfiles%/cnnic/cdn/cdnforie.dll”
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/cdnprot/DescriptionName 键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/cdnprot/ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节 system32/drivers/cdnprot.sys. 【转自世纪安全网 http://www.21safe.com】
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: 别让MP3黑走你的QQ--------- 对一个病毒形式的QQ木马分析
下一篇新闻: 多包裹病毒巧清除 加壳木马无处容身 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
