病毒別名:
處理時間:2006-12-28 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒是一個檔案間諜木馬。它會查找並調用rar.exe程式將指定檔案打包並加密,如果找不到rar.exe程式則自身在系統目錄下釋放一個2.0版本rar.exe。使得用戶不能正常使用這些加密的檔案。同時該病毒還會通過u盤傳播。建議電腦用戶升級病毒庫查殺該病毒,以免中毒受害。1、生成的檔案
%SystemRoot%\java\classes\java.dll
%SystemRoot%\system32\kernel32.sys
%SystemRoot%\system32\mfc48.dll
2、註冊CLSID組件HKCR\CLSID\
"(Default)" = "Java Class"
HKCR\CLSID\\InprocServer32
"(Default)" = "%SystemRoot%\java\classes\java.dll"
3、添加瀏覽器輔助對象
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
"(Default)" = ""
4、添加啟動項,隨系統進程啟動
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = "kernel32.sys"
5、加壓密碼為:dk407814.
手工清除病毒:
(1)使用icesword結束explorer.exe和svchost.exe進程中的java.dll,kernel32.sys,mfc48.dll模組。
(2)刪除該病毒添加的CLSID組件、BHO組件和將AppInit_DLLs啟動內容清空。
(3)重起系統
