新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法: 病毒名: Worm.QQTailEKS.ds.36864 传播
新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法:
病毒名:Worm.QQTailEKS.ds.36864
传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播。
病毒行为:
1.病毒运行后常驻内存,向系统目录中复制多个副本:
%Windows%\cacom.exe(%windows%一般是c:\windows目录)
%System%\Akica.exe(%system%一般是指c:\windows\system32目录) |
在Windows 2000系统,该病毒生成的程序名为sycacom.exe。
2.覆盖系统游戏“纸牌”的程序:
%System%\sol.exe
%System%\drivers\sol.exe(这里正常没有这个sol.exe) |
3.向系统分区以外的分区根目录复制自身:
4.生成“自动播放”文件:
内容为:
[autorun]
open=EKS.exe
shellexecute=EKS.exe
shell\Auto\command=EKS.exe
shell=Auto |
5.修改注册表,创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cacom"="%Windows%\cacom.exe"
------分隔线----------------------------
|
