1. 首頁 > 云知道 > >

大蜘蛛提醒您小心“Windows更新”陷阱

云知道

最近不少用戶反映電腦中了一個貌似Windows更新程序的病毒 , 中招后很多殺毒軟件都束手就擒 , 右下角的殺軟圖標都乖乖退出 , 任由病毒肆意妄為而無可奈何 。唯有綠色大蜘蛛及時報警攔截病毒 , 像一個鋼鐵戰士忠實守衛在他的陣地上 。
現在的病毒制造者愈發的猖獗和狡猾 , 不僅病毒破壞力越來越強 , 其在掩飾方面也是做足了功夫 , 此病毒就是將圖標偽裝成Windows更新程序并將其命名為update.exe從而騙過各大網站和網民的眼睛 , 令其頻頻中招 , 給本已不平靜的互聯網又添波瀾 。
大蜘蛛提醒廣大用戶:及時更新病毒庫 , 防止中招 。
筆者簡單分析了此病毒的運行行為 , 以供讀者參閱 。
病毒樣本圖標如下圖:病毒程序及其屬性信息均模仿為Windows更新程序 。
1.此病毒運行后啟動進程update.exe , 釋放其本身及動態庫文件到系統路徑下并將屬性設置為隱藏:
C:WINDOWSsystem32wuauclt1.exe
C:WINDOWSsystem32dllcachewuauclt.exe
C:WINDOWSsystem32w1ninet.dll
C:DOCUME~1ADMINI~1LOCALS~1TempRar$EX01.859update.EXE
2.修改注冊表導致無法顯示隱藏文件 , 從而達到隱藏本身的目的:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL "CheckedValue" = 0x00000002
3.在各個磁盤根目錄下復制自身及autorun.inf , 用戶每次雙擊打開磁盤 , 都會調用aoturun.inf運行病毒 , 同時復制病毒自身到U盤 , 達到通過U盤傳播的目的 。
4.然后將病毒文件寫入啟動項(這是一般病毒的常用技倆 , 用戶機器每次啟動時 , 病毒都會隨機啟動):
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun “test”=C:WINDOWSsystem32wuauclt1.exe
5.此病毒將系統時間調整為四年前 , 導致很多殺毒軟件的許可文件失效 , 無法實現掃描功能 , 因此要遏制此病毒的爆發還是要依賴于殺毒軟件的監控能力 。
大蜘蛛監控程序在病毒運行的第一時間將其攔截 , 阻止其運行 。如下圖:
【大蜘蛛提醒您小心“Windows更新”陷阱】筆者提醒廣大用戶:Dr.Web大蜘蛛的中文官方網站有為期90天的免費試用版下載 。下載地址:http://www.drweb.com.cn/Download/DownView2.aspx

    推薦閱讀