查看文章 |
新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息。金山毒霸已经升级解决此病毒。以下是详细分析报告和手工清除办法:
病毒名:Worm.QQTailEKS.ds.36864
传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播。
病毒行为: 1.病毒运行后常驻内存,向系统目录中复制多个副本: %Windows%\cacom.exe(%windows%一般是c:\windows目录) %System%\Akica.exe(%system%一般是指c:\windows\system32目录) 在windows 2000系统,该病毒生成的程序名为sycacom.exe。
2.覆盖系统游戏“纸牌”的程序: %System%\sol.exe %System%\drivers\sol.exe(这里正常没有这个sol.exe)
3.向系统分区以外的分区根目录复制自身: X:\EKS.exe(X为盘符)
4.生成“自动播放”文件: X:\Autorun.inf: 内容为: [autorun] open=EKS.exe shellexecute=EKS.exe shell\Auto\command=EKS.exe shell=Auto
5.修改注册表,创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "cacom"="%Windows%\cacom.exe"
6.向QQ好友发送以下附带病毒地址的消息:
看看我的网友,杭州的,皮肤白皙,身材超正,我想让她成为恋人,征求您的建议, 她的视频 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=2
还记得小文吗,她现在成了二奶,打扮得火辣性感,开着宝马,是被一个香港人包的;真不敢相信,看看她博客上的视频您就知道了 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=1
Hi,快点帮个忙, 打开这个网址,然后随便点击下面的一个链接, hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=URL-movies.htm 一会在对你说为什么,万分感谢。
我刚发现的 ,超刺激的**电影,速度巨快, 一个月免费, hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=URL-free-movies.htm
发送消息后尝试关闭聊天对话框,病毒还会访问一些广告页面。
手动清除方法:
1.结束病毒进程 按Ctrl+Alt+Del,启动任务管理器,结束vm1.exe的进程(如果重启过,病毒进程变为akica.exe或cacom.exe)。
2.点开始,运行,输入regedit,启动注册表编辑器,删除以下病毒启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "cacom"="%Windows%\cacom.exe" 以上步骤,可以使用金山清理专家,修复启动项,比手动操作注册表要安全一些。
3.使用杀毒软件或者手工删除病毒文件。 建议立即升级杀毒软件后查杀,如果手边没有最新版本的杀毒软件,可以手工删除以下文件。 %Windows%\cacom.exe,(%windows%通常指c:\windows目录) %System%\Akica.exe,(%system%通常指c:\windows\system32目录) %System%\sol.exe %System%\drivers\sol.exe
4.恢复“纸牌”游戏 病毒替换了“纸牌”游戏,可以从正常的系统COPY这个游戏程序到%system%目录
5.删除其它分区的病毒文件 使用“资源管理器”,而不是双击访问磁盘,双击会启动自动播放,其它分区仍存在的病毒程序会自动运行,这样的话,前面的工作就白费了。树形文件夹状态进入各分区根目录,删除EKS.exe和Autorun.inf
6.禁用自动播放防范此类病毒 该病毒仍然通过自动播放传播,强烈建议使用组策略编辑器禁止所有驱动器的自动播放功能。操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。  也可以使用毒霸来禁止自动播放功能。步骤为:启动毒霸主程序,工具菜单下找到综合设置,在其它设置中选中禁止U盘和硬盘的自动播放功能。如下图: 
|
