ARP新形态 百万Q币病毒列表与清理发送
- 出处:赛迪网
- 时间:2008-01-09
具客户反馈,上网点击“百万Q币”广告连接到虚假网站地址,采用ARP欺骗拦截http会话。
病毒感染可执行文件,并能够阻止安全工具的使用,例如:360,
病毒文件自身隐身在
并在本地磁盘和移动存储设备上建立2个隐藏文件,Autorun.inf和Pagefiles.pif文件
同时,在C:\Documents and Settings\All Users\「开始」菜单\程序\启动\生成~.exe文件。
病毒程序采用UPX压缩,Lsass.exe具有进程保护,如果使用第三方工具终止,会临时产生c:\nftsus.exe文件,nftsus.exe会再次激活
由于360,IceSword无法使用,建议使用Process Explorer来终止LSASS.exe、
病毒文件为隐身方式,使用Explorer查看隐藏文件也无法看到,建议使用Winrar浏览各磁盘根目录和windows\system32\com\里面的病毒文件。
- 作者:pandaguard
Back