internat.exe等病毒清除方法 -pc6资讯

您的位置：首页 → 网络冲浪 → 防范措施 → internat.exe等病毒清除方法

internat.exe等病毒清除方法 时间：2009/12/15 11:16:00来源：本站整理作者：我要评论(0)

病毒症状
　　该样本是使用“Borland Delphi”编写的“蠕虫病毒”，采用“WinUpack”加壳方式试图躲避特征码扫描,加壳后长度为20,000字节，使用“ exe”扩展名，通过网页木马、下载器下载、移动介质(如U盘)等方式进行传播。
　　用户中毒后，会出现计算机及网络运行缓慢，出现隐藏启动的iexplorer.exe进程等现象。
　　感染对象
　　Windows 2000/Windows XP/Windows 2003/Windows Vista
　　传播途径
　　网页挂马、文件捆绑、下载器下载
　　病毒分析
　　1、病毒运行后首先检查自己的的参数是否为sleepDown或update。
　　2、如果都不是，检查自己的扩展名是否为.exe或com。设置自己为"SeDebugPrivilege"权限。
　　3、检查internat.exe和internat.exe.tmp是否存在，如果存在就删除。
　　4、拷贝自己为internat.exe，设置为系统、隐藏属性，以sleepDown为参数调用internat.exe。
　　5、以sleepDown为参数运行后，每隔60s，遍历盘符，创建autorun.inf和setup.exe，setup.exe为病毒自身的拷贝，遍历非系统盘，获取其中的exe文件，将其路径保存为win.log，根据win.log的记录对exe文件进行感染。
　　6、以update为参数运行后，以隐藏方式打开iexplorer.exe，访问网络。
　　7、创建批处理，退出进程，自我删除。
　　病毒创建文件：
　　%SystemRoot%\system\internat.exe
　　%SystemRoot%\system\system32.vxd
　　%SystemRoot%\system32\win.log
　　X:\ setup.exe
　　X:\ AutoRun.inf
　　X为任意盘符。
　　病毒删除文件：
　　%SystemRoot%\system32\win.log
　　病毒访问网络：
　　http://tj.****.com
　　手动解决办法：
　　手动删除以下文件：
　　%SystemRoot%\system\internat.exe
　　%SystemRoot%\system\system32.vxd
　　X:\ AutoRun.inf
　　X:\ setup.exe
　　X为任意盘符。
　　变量声明：
　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

相关视频

消灭病毒怎么快速满级

文章评论

查看所有0条评论>>

热门文章 没有查询到任何记录。