手动解决办法:
1.手动停止并删除服务&netscvre&
2.手动删除文件
&%SystemRoot%system32kscysy.exe(文件名随机)&
&%SystemRoot%system32gei33.dll&
&%SystemRoot%TEMPhrlF.tmp(文件名随机)&
除正常系统文件&lpk.dll&之外所有同名文件
变量声明:
%SystemDriver% 系统所在分区,通常为&C:&
%SystemRoot% WINDODWS所在目录,通常为&C:Windows&
%Documents and Settings% 用户文档目录,通常为&C:Documents and Settings&
%Temp% 临时文件夹,通常为&C:Documents and Settings当前用户名称Local SettingsTemp&
%ProgramFiles% 系统程序默认安装目录,通常为:&C:ProgramFiles&
病毒分析:
1.判断当前文件所在目录是否为&C:WINDOWSsystem32&,不是则将自身拷贝重命名为&C:WINDOWSsystem32kscysy.exe(文件名随机)&。
2.打开服务控制管理器,创建名字为&netscvre&的服务,启动类型为自动,执行映像指向&C:WINDOWSsystem32kscysy.exe&,之后启动此服务,设置服务描述信息为&NT LM Security Support Providers&。
3.将病毒文件自身移动重命名&C:DOCUME~1ADMINI~1LOCALS~1TempSOFTWARE.LOG&,并设重启删除。
4.病毒文件作为服务运行之后:
(1)枚举资源信息,创建文件&C:WINDOWSsystem32gei33.dll&,写入病毒数据,加载该文件到当前进程地址空间。
(2)解密网址信息,每隔5秒钟,开辟新线程,创建套接字,连接到网络&dai**o007.**22.org:8011&、&r**2.10**eili.com:8000&,获取本地区域信息、计算机名、操作系统版本、处理器类型、内存大小等信息发送到远程主机,并从该主机接收数据,受控于该主机。
5.&C:WINDOWSsystem32gei33.dll&加载之后:
(1)创建文件&C:WINDOWSTEMPhrlF.tmp(文件名随机)&写入病毒数据,并创建新进程执行(该文件和病毒主程序相同)。
(2)遍历所有磁盘,将自身拷贝重命名为所有&*.exe&文件目录下&lpk.dll&文件,并设置属性为系统、隐藏、只读。
病毒创建文件:
&%SystemRoot%system32kscysy.exe(文件名随机)&
&%SystemRoot%system32gei33.dll&
&%Temp%SOFTWARE.LOG&
&%SystemRoot%TEMPhrlF.tmp(文件名随机)&
&所有*.exe文件目录lpk.dll&
病毒删除文件:
病毒文件自身
&%Temp%SOFTWARE.LOG&
病毒访问网络:
&dai**o007.**22.org:8011&
&r**2.10**eili.com:8000&