病毒简介:
W32病毒:W32.Eboscro,危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个W32病毒,长度 485,888 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它复制自身到移动盘上,打开后门,降低安全设置。当收到、打开此病毒时,有以下现象:
A 在系统目录下创建文件 hdcu.exe iexplore.exe 和 aKiller.dll
B 增加键值 "ShellEffect" = "%System%\iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run使得病毒开机后自动执行
C 创建键值
HKEY_CLASSES_ROOT\aKiller.TAdKillerBHO
HKEY_CLASSES_ROOT\CLSID\{A692062A-11A1-461B-BE98-B987F01F96FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{A692062A-11A1-461B-BE98-B987F01F96FC}
D 复制自身到移动盘上 escro.exe 和 autorun.inf
使得病毒在移动设备接入计算机时可能被执行
E 降低安全设置
F 结束以下进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
G 打开后门,等待执行黑客以下指令
下载执行文件
截屏发送给黑客
收集系统信息
捕获输入信息
监视IE浏览内容
手动删除方法
1、先在任务管理器里结束escro.exe、hdcu.exe和iexplore.exe进程。
2、在文件夹选项中取消隐藏受保护的操作系统文件及显示所有的文件及文件夹。
3、用右键分别打开我的电脑和每个本地磁盘,删除每个磁盘下的autorun.inf文件和escro.exe文件。进入"%System%\system32目录,删除iexplore.exe文件"
4、在运行中输入regedit进入注册表,分别查找escro.exe、escro和windows\system32\iexplore.exe,将找到的键值删除。
5、重启电脑。
标签: 网络安全
