컴퓨터 중독에 대해 전문가에게 조언을 구하세요.

최근 U 디스크 바이러스 auto.exe가 상당히 폭력적이었지만 동시에 U 디스크를 통해 확산되는 유사한 다운로더 바이러스도 발견되었습니다.

다음은 이 바이러스에 대한 분석입니다:

파일: servver.exe

크기: 37888바이트

MD5: 411AD11AC0FF5164C8B18AB4AD0D5739< /p >

SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA

CRC32: F57CD054

다음 파일을 생성하세요

시스템 디스크에 복사본을 생성하세요

system32\ servver.exe

그리고 각 디스크 파티션 아래에 생성

autorun.inf 및 servver.exe

서비스로 등록된 Windowsms

system32\servver.exe를 가리킵니다.

시작 유형: 자동

표시 이름: Telephots google

서비스 설명: 플러그 앤 플레이 장치에 대한 지원 제공

레지스트리 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun의 키 값을 수정하려고 했으나 테스트 중에 구현되지 않았습니다.

검색창 "IE 실행 보호"는 나중에 찾기 버튼 "실행 허용"을 찾았습니다.

그리고 WM_LBUTTONDOWN 명령을 보내 키 입력을 시뮬레이션했습니다.

"Rising Kaka Internet Security Assistant-IE Anti-Leakage Wall" 창을 찾습니다. " 그런 다음 "허용" 버튼을 검색하세요.

그리고 WM_LBUTTONDOWN 명령을 보내 키 입력을 시뮬레이션합니다.

drivers/klif.sys 파일이 있는지 확인하세요

있는 경우 cmd /c date 1981-01-12 명령을 사용하여 날짜를 1981년 1월 12일로 변경합니다.

그리고 날짜를 15초 뒤로 변경합니다.

CreateProcess를 호출하여 프로세스 c:\windows\system32\svchost.exe를 연 다음 WriteProcessMemory를 호출합니다. 함수가 이 프로세스에 바이러스 코드를 작성하여 다운로드 기능을 구현할 때까지 기다립니다.

다음 파일을 다운로드합니다

/~jfpan/download/IceSword122cn.zip

sreng /blog /attachment/iframekill.rar감염된 HTML 파일 복구