167
電腦幫助
U盤蠕蟲bittorrent.exe的查殺方法
U盤蠕蟲bittorrent.exe是一個有重大破壞力的蠕蟲病毒,一些國外著名的殺毒軟件在它麵前也都無能為力,比如邁克菲和NOD32,好在卡巴斯基能幹掉它。今天我們來深入分析一下這個病毒,並探討如何查殺它。
病毒名稱:Worm.CJump.c.3515723(Kingsoft2006);Worm.snake.a (Rising2006)
從同學的U盤上獲得的樣本,來自學校打印店的“加料”。是繼reper.exe, revmonE.exe,rose.exe之後又一新的變種病毒,不過病毒手法並不怎麼高明。
病毒大小:3.35M-3515730字節
中毒症狀:
雙擊U盤無法打開,右鍵打開出現auto,自動播放等選項。
具體病毒行為:染毒電腦 會生成C:\windows\bittorrent.exe, 為隱藏的係統屬性
同時還生成一個ravmonlog文件 用記事本打開後為15969
進程中出現bittorrent.exe
當U盤插入電腦時,病毒進程自動監測,並在U盤中生成以下文件:
病毒源體:bittorrent.exe
日誌文件:bittorrent.exe.log
C語言動態鏈接庫:msvcr71.dll
inf文件:AUTORUN.INF
內容為:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell\Auto\command=bittorrent.exe e
shell=Auto
這樣雙擊U盤會自動運行病毒。感染另一台電腦。
修改注冊表:
添加自啟動項[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bittorrent"="C:\\windows\\bittorrent.exe"
添加項目打開係統TCP端口15969
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"15969:TCP"="15969:TCP:*:Enabled:NortonAV"
訪問網絡:訪問廣州天河區一ADSL的IP
清除方法:
1.結束進程:bittorrent.exe
2.清除病毒文件:C:\\windows\\bittorrent.exe 注意以文件為隱藏係統屬性,要設置為顯示所有文件才可看到。
同一文件夾下 ravmonlog文件(此文件非病毒)
恢複注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除
"Bittorrent"="C:\\windows\\bittorrent.exe"
將GloballyOpenPorts整支鍵刪除
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"15969:TCP"="15969:TCP:*:Enabled:NortonAV"
關於U盤的查殺:
請不要在未清除病毒前雙擊U盤,否則會重複感染
清除方法:用右鍵打開,進入U盤同樣要設置為顯示所有文件。將bittorrent.exe,bittorrent.exe.log(非病毒,
msvcr71.dll(非病毒),AUTORUN.INF全部刪除。之後將U盤內的文檔拷貝到電腦上,對U盤進行格式化。之後複圓文件即可。
還需要提醒更為用戶一句,要先確保自己的電腦室無毒的,這樣才能有效清除U盤上的病毒。掌握這些病毒的原理分析,以後我們對付病毒就更加遊刃有餘了。
本文鏈接:https://www.tudoupe.com/help/upjc/2014696.html
最後更新:2017-04-08 11:48:11