新QQ尾巴,發誘惑消息迷惑網民,點擊消息中的鏈接,下載運行后就會中招,中毒后會不停向好友發出類似消息。以下是詳細分析報告和手工清除辦法:
病毒名:Worm.QQTailEKS.ds.36864
傳播方式:通過QQ發送消息,并通過自動播放和惡意網頁傳播。
病毒行為:
1.病毒運行后常駐內存,向系統目錄中復制多個副本:
%Windows%\cacom.exe(%windows%一般是c:\windows目錄)
%System%\Akica.exe(%system%一般是指c:\windows\system32目錄) |
在Windows 2000系統,該病毒生成的程序名為sycacom.exe。
2.覆蓋系統游戲“紙牌”的程序:
%System%\sol.exe
%System%\drivers\sol.exe(這里正常沒有這個sol.exe) |
3.向系統分區以外的分區根目錄復制自身:
4.生成“自動播放”文件:
內容為:
[autorun]
open=EKS.exe
shellexecute=EKS.exe
shell\Auto\command=EKS.exe
shell=Auto |
5.修改注冊表,創建啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cacom"="%Windows%\cacom.exe" |
6.向QQ好友發送以下附帶病毒地址的消息:
看看我的網友,杭州的,皮膚白皙,身材超正,我想讓她成為戀人,征求您的建
議, 她的視頻 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=2
還記得小文嗎,她現在成了二奶,打扮得火辣性感,開著寶馬,是被一個香港人包的;真不敢相信,看
看她博客上的視頻您就知道了 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=1
Hi,快點幫個忙, 打開這個網址,然后隨便點擊下面的一個鏈接, hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-movies.htm 一會在對你說為什么,萬分感謝。
我剛發現的 ,超刺激的**電影,速度巨快, 一個月免費, hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-free-movies.htm |
發送消息后嘗試關閉聊天對話框,病毒還會訪問一些廣告頁面。
手動清除方法:
1.結束病毒進程
按Ctrl+Alt+Del,啟動任務管理器,結束vm1.exe的進程(如果重啟過,病毒進程變為akica.exe或cacom.exe)。
2.點開始,運行,輸入regedit,啟動注冊表編輯器,刪除以下病毒啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cacom"="%Windows%\cacom.exe" |
3.使用殺毒軟件或者手工刪除病毒文件。
建議立即升級殺毒軟件后查殺,如果手邊沒有最新版本的殺毒軟件,可以手工刪除以下文件。
%Windows%\cacom.exe,(%windows%通常指c:\windows目錄)
%System%\Akica.exe,(%system%通常指c:\windows\system32目錄)
%System%\sol.exe
%System%\drivers\sol.exe |
4.恢復“紙牌”游戲
病毒替換了“紙牌”游戲,可以從正常的系統COPY這個游戲程序到%system%目錄。
5.刪除其它分區的病毒文件
使用“資源管理器”,而不是雙擊訪問磁盤,雙擊會啟動自動播放,其它分區仍存在的病毒程序會自動運行,這樣的話,前面的工作就白費了。樹形文件夾狀態進入各分區根目錄,刪除EKS.exe和Autorun.inf。
6.禁用自動播放防范此類病毒
該病毒仍然通過自動播放傳播,強烈建議使用組策略編輯器禁止所有驅動器的自動播放功能。操作步驟為:點擊開始→運行→輸入gpedit.msc,打開組策略編輯器,瀏覽到計算機配置→管理模板→系統,在右邊窗格中雙擊“關閉自動播放”,對話框中選擇所有驅動器,確定即可。
