ravdm.exe

Ravdm.exe Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案

病毒大小：21,453 字节

加壳方式：FSG

样本MD5：06645da7cf9bd48d724cc6a10feef6e5

关联病毒：

传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析

==========

运行后复制自身到%System%Ravdm.exe，释放驱动%System%driversRinld.sys。

创建启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]

"9"="%System%Ravdm.exe"

修改QQ目录下的TIMPlatform.exe，将TIMPlatform.exe改名为TIMPlatfrom.exe，复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe，使得QQ运行时病毒也会被激活。

清除步骤

==========

1. 删除病毒文件：

%System%Ravdm.exe

%System%driversRinld.sys

2. 删除病毒创建的启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]

"9"="%System%Ravdm.exe"

3. 删除QQ目录下的TIMPlatform.exe，将TIMPlatfrom.exe改名为TIMPlatform.exe