win.exe
WIN.EXE或WIN是一种木马病毒的变种。
进程文件: win 或 win.exe
进程位置: windir
程序名称: W32/Sdbot-QI
程序用途: 蠕虫病毒,包含后门木马,远程控制。
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该病毒修改注册表创建系统服务win-xp或NSCYM实现自启动win.exe,同时修改注册表创建系统服务COM+ System 或WindowsPigeon实现自注入病毒模块System Volume Information er.dll,病毒利用计算机网络与利用弱密码共享文件夹传播,包含的后门木马功能,能够让非法入侵者远程控制。病毒会尝试删除网络共享,参予Dos攻击,窃取计算机信息下载和管理档案,并可能窃取密码。病毒文件还可以是:stem.exe,scr.dll,expl0rer.exe,adg3.exe,ale.exe等,实际上是灰鸽子木马病毒的变种。
最近电脑突然卡,发现进程了多了很多个win.exe
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
瑞星报毒!!!
文件名称:AutoRun.exe、WIN.exe
文件大小:102400 byte
AV命名:
江民:TrojanDownloader.Agent.uec
卡巴斯基:Virus.Win32.Downloader.ab
瑞星:Win32.Downloader.n
NOD32:Win32/Mypis.J virus
行为分析:
1、 不释放任何副本和启动项,因为被感染的文件等同于病毒
2、查找可用磁盘,生成Autorun.exe和Autorun.inf。(未实现)
3、获取物理内存,可能作为隐藏进程用,不过没有实现。
4、保证一个互斥体,标志为“wokaon”避免多个病毒体在运行。
5、查找硬盘EXE和SCR文件并感染,首先跳过以下文件夹:
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
感染后的文件增加一区段,里面包含下载木马的命令,并修改入口点优先执行病毒。
6、查找"IEFrame" 类名窗口并关闭,可能导致一些浏览器被关闭。
7、连接网络,下载3个木马,并保存至本地为:
c:Program FilesCommon Filesm1.exe
c:Program FilesCommon Filesm2.exe
c:Program FilesCommon Filesm3.exe
测试时并没有实现。
解决方法:
专杀工具: http://www.antidu.cn/board/zsst/
因为没有启动项,所以不需要文件和注册表
1、 删除各个盘符下的autorun.inf autorun.exe
2、清理磁盘上的所有临时文件。
3、下载杀软,全盘扫描,修改被感染过的文件。