Adware.Winsdup.d

王朝百科·作者佚名 2010-02-21

Adware.Winsdup.d病毒资料和病毒分析：

知识库编号： RSV0707697

内容分类：木马病毒

适用产品分类：瑞星杀毒软件.单机版.标准版.2007

瑞星杀毒软件.单机版.升级版.2007

瑞星杀毒软件.单机版.下载版.2007

关键词： Adware.Winsdup.d;清除

本文提供Adware.Winsdup.d病毒资料以及清除方法。

该病毒使用VC6编写，属于广告类病毒，该病毒具有以下行为：

1、生成文件:

病毒运行后建立路径"%ProgramFiles%winp",并在此路径释放如下文件：

code.dll；lexi.lex；play.dll；snet.dll；stdi.ini；stdl.ini；stub.dll；upiilex.ini；upme.ini；vote.dll

2、新建注册表信息：

HKLMSystemCurrentControlSetServicessvcs = 新建子键

HKLMSystemCurrentControlSetServicessvcsType = 0x110

HKLMSystemCurrentControlSetServicessvcsStart = 0x2

HKLMSystemCurrentControlSetServicessvcsErrorControl = 0x1

HKLMSystemCurrentControlSetServicessvcsImagePath = "%SystemRoot%System32svchost.exe -k netsvcs"

HKLMSystemCurrentControlSetServicessvcsDisplayName = "Windows svcs RunThem"

HKLMSystemCurrentControlSetServicessvcsSecurity = 新建子键

HKLMSystemCurrentControlSetServicessvcsSecuritySecurity = 01 00 14 80 A0 00 00 00 ...

HKLMSystemCurrentControlSetServicessvcsObjectName = "LocalSystem"

HKLMSYSTEMCurrentControlSetServicessvcsParameters = 新建子键

HKLMSYSTEMCurrentControlSetServicessvcsParametersServiceDll = "C:PROGRA~1winpsnet.dll"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall = 新建子键

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall\DisplayName = "Windows svcs UnInstall"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall\UninstallString = "C:WINNTSystem32

undll32.exe C:PROGRA~1winpsnet.dll,Service -u"

3、病毒尝试连接如下网址，并下载文件

update.borlander.cn

http://update.borlander.cn/upstdad5/updstdii.ini

http://update.borlander.cn/upstdad5/updstdix.ini

http://update.borlander.cn/upstdad5/updadini.ini

http://update.borlander.cn/upstdad5/updadlex.ini

www.borlander.com.cn

http://www.borlander.com.cn/jsp/gi.jsp?t=%d

4、病毒根据下载的文件中的信息，弹出IE显示指定的广告网页或进行点击

Adware.Winsdup.d病毒的查杀清除方法：

1、将瑞星卡卡上网安全助手升级到最新版本，进行恶意及流氓软件清理。

2、将瑞星杀毒软件升级到最新版本，全盘查杀。