资源描述:
《virus.win32.alman.a病毒分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、Virus.Win32.Alman.a病毒分析~教育资源库 卡巴斯基发现Virus.an.a病毒,无法清除,只能删除感染的文件。因为该病毒感染.exe程序执行文件,所以好多.exe程序执行文件将被删除。建议大家将卡巴斯基的主动防御保护全部开启,特别是启用注册表防护和程序完整性保护。 此病毒每感染一个文件,病毒特征就会变一次,杀毒引擎想通过特征码查杀来修复被感染的文件,困难重重。因此,到目前为止,还没有发现有杀毒软件能够修复被virut感染的EXE,只能选择隔离。这样一来,中此病毒的系统将会很惨,可能不得不备份文档后重装系统。 提醒用户及早升级防范virut病毒,如果不幸中招,可根据受损程
2、度处理。如果系统EXE破坏严重,可以采用备份进行还原,没有备份的情况下,覆盖安装可以最大程度减少损失。实在不想麻烦,可以将机子停用个把星期的时间,然后升级病毒库,再查杀,或许一切迎刃而解。 这个病毒使用的加密引擎来自波兰,那个IRC服务器域名为proxim.ircgalaxy.pl,貌似也是波兰的域名。 该病毒的其它行为: 感染后缀为:EXE和SCR的可执行文件: 如果文件名以下面的开始,则不感染 .ircgalaxy.pl 频道: #virtu 接收远程指令。 有问题的文件包括: 1、32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就.会从网上下载apphe
3、lps.dll(有正常的apphelp.dl文件l,但不在该目录下)到d,驱动)。 2、32drivers下的riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令icess之类强力工具不能启.动用的,真是强,不过还没有分析这个文件。 是否有其它不正常的文件还有待进一步分析。 初步的解决方案: 下载xdelbox最新版,先删除hklmsystemcurrentcontrolsetservicesriodrv项,运行xdelbox后,选中抑制再生与驱动安全删除选项,删除以上提到的三文件,重
4、启删除即可,部分被破坏的程序好像不能用了,但至少大多数还好,目前只能等这个病毒流行之后,下个.专杀工具再来处理。 linkinfo病毒初步解决方案 1)首先在32driversetchosts文件中添加以下几行 127.0.0.1.imrrr32driversriodrvs.sys,(有些机器上还有dkis6.sys,若有也加入)systemcurrentcontrolsetservicesriodrvs项。 本人机器经过这样处理之后就没有再复发了,虽然运行感染了的程序之后,hklmsystemcurrentcontrolsetservicesriodrvs还可能出现,不过己经没有了感
5、染力,被破坏的程序如果舍不得删除的话就留下,等有专杀工具出来再还原。还有一点要说明就是,用xdelbox1.2,主要是由于其抑制再生的功能可以阻止该病毒再次感染,极力推荐这个工具。友情提醒:,特别!
