ravdm.exe
Ravdm.exe Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案
病毒大小:21,453 字节
加壳方式:FSG
样本MD5:06645da7cf9bd48d724cc6a10feef6e5
关联病毒:
传播方式:通过恶意网站传播,通过其它病毒/木马下载
技术分析
==========
运行后复制自身到%System%Ravdm.exe,释放驱动%System%driversRinld.sys。
创建启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"9"="%System%Ravdm.exe"
修改QQ目录下的TIMPlatform.exe,将TIMPlatform.exe改名为TIMPlatfrom.exe,复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe,使得QQ运行时病毒也会被激活。
清除步骤
==========
1. 删除病毒文件:
%System%Ravdm.exe
%System%driversRinld.sys
2. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"9"="%System%Ravdm.exe"
3. 删除QQ目录下的TIMPlatform.exe,将TIMPlatfrom.exe改名为TIMPlatform.exe