发作症状:病毒被运行后,生成的文件
%SystemRoot%\system32\rundll32.com、command.pif、regedit.com、dxdiag.com、MSCONFIG.COM;%SystemRoot%\system32\finder.com;%SystemRoot%\finder.com、INLOGON.EXE;;%\Program Files%\intern~1\iexplore.com;%\Program Files%\common~1\iexplore.pif;%SystemRoot%\explorer.com、1.com、ExERoute.exe;%D:%\pagefile.pif、autorun.inf;%SystemRoot%\Debug\DebugProgram.exe,修改系统exe文件关联,修改System.ini中的shell项,修改http协议缺省启动程序,修改ftp协议缺省启动程序,修改htmlfile协议缺省启动程序,添加自启动项。该病毒在其他非系统盘建了一个autorun.inf,每次双击这些盘都会再次感染该病毒。该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序,其申请进程路径是%SystemRoot\WINLOGON.EXE,ExERoute.exe进程会监视并维护WINLOGON.EXE进程。一旦获得帐号密码该病毒就会将这些信息上传到处理网页上。该病毒在系统中做了很强的自我保护。建议电脑用户要升级杀毒软件和打开防火墙,以防中毒受害。 金山反病毒工程师建议:
1. 请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。 2. 当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。 金山毒霸反病毒应急中心及时进行 了病毒库更新,升级毒霸到2006年11月28日的病毒库即可查杀以上病毒;如未安装金山毒霸,可登录 http://www.duba.net 免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话:010-82331816 反病毒专家将为您提供帮助。” | 
相关文章 
