实战清除MSN病毒NEW PHOTO

您现在的位置：蓝派网 >> 文章中心 >> 电脑知识 >> 网络安全 >> 正文

站内文章搜索:

实战清除MSN病毒NEW PHOTO

作者：木淼鑫 k… 文章来源：赛迪网更新时间：2008-9-7 22:06:07

近日中了传说中通过MSN传播的NEW PHOTO病毒。一个很顽固的病毒，杀起来特麻烦。此病毒禁用了注册表和任务管理器，就连开始菜单中关闭计算机按钮也没有了。百度主页可以上网，但百度知道却打不开。从网上找了很多种办法，用来恢复注册表和任务管理器，但都没成功。

中毒经历

刚开始的时候，是接到一个关于电脑报价的压缩包，由于是认识的人发送，一时降低了警觉，结果打开后中招。

先是在MSN上聊天后发现电脑无法关机，提示被限制。如图所示：

无法正常关机

强行关机重启后发现关机按钮消失，注册表编辑器、任务管理器打不开。

关机按钮消失

注册表被禁用

任务管理器被禁用

病毒简单分析

病毒监视可移动存储介质并向其写入Autorun文件，文件内容格式如下(不一定完全一致)：

[autorun]
open=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe
shell\open\default=1

U盘图标被Autorun.inf定义为文件夹样式：

U盘图标变为文件夹样式

创建启动项并以隐藏进程运行：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
   crypt
crypts.dll
c:\windows\system32\crypts.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   Symantec Control Client
symclisvc.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symclisvc.exe
   Symantec Control Client
symconfig.exe
NEW PHOTO
(Not verified) Adobe PhotoShop CS3 Product
1.03.0023.0000
c:\windows\system32\symconfig.exe

[1] [2] 下一页

上一篇文章：保护隐私去除留在电脑中的秘密

下一篇文章：黑客使用Web进行攻击10大原因抵御10大方法

百度搜索： 实战清除MSN病毒NEW PHOTO