services.exe进程病毒-东北IT网

services.exe进程病毒

WWW.DBIT.CN 2006-11-27 22:08:01 热度：

HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\

　　注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

　　二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹：
%windir%\debug
%windir%\system32\NtmsData

　　一、病毒评估

1．病毒中文名： SCO炸弹变种N
2．病毒英文名： Worm.Novarg.N
3．病毒别名： Worm.Mydoom.m
4．病毒大小： 28832字节
5．病毒类型：蠕虫病毒
6．病毒危险等级： ★★★★
7．病毒传播途径：邮件
8．病毒依赖系统： Windows 9X/NT/2000/XP

　　二、病毒的破坏

　　1．通过电子邮件传播的蠕虫病毒，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送病毒邮件；

　　2．利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送病毒邮件传播自身。

　　3．大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

　　4．感染了此病毒的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

　　5．病毒大量向外发送病毒邮件，严重消耗网络资源，可能造成局域网堵塞。

　　三、技术分析

　　1．蠕虫病毒，采用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：java.exe。释放一个后门病毒在同一目录中，文件名为：services.exe。
　2．在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值：JavaVM和Service，实现病毒的开机自启动。

　　3．强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

　　4．在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录（Local Settings\Temporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

　　5．当病毒搜索到email地址以后，病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com，利用这种手段，病毒能够搜索到非常多的可用邮件地址。

　　6．病毒邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，病毒附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

　　四、病毒解决方案：

　　1. 进行升级

　　瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.37.10，该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（ http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

本新闻共3页,当前在第2页 1 2 3

上一篇：DOS下维护注册表的高级技巧

下一篇：回顾Windows 1.0到Vista的启动画面发展历程

【打印】【关闭】

·恶意网页病毒症状分析及简单修复方	·只防病毒并不安全　安全攻略全解
·详细了解进程和病毒的相关十七点安	·关于病毒命名规则的说明
·My123出现6个变种流氓软件彻底变病	·小心手机病毒“战神之子”
·Windows系统进程信息不可用解决办	·综合方法解决防制ARP欺骗问题
·给你预防病毒的八个忠告	·RavMonE病毒剿灭记
·近期电脑病毒三最高危病毒变种成	·黑客攻破Google服务器通过中国网
·恢复威金病毒感染的EXE文件小方法	·巧用系统控制台删除死顽固病毒
·如何捕获电脑病毒样本	·必须掌握的防病毒知识

☆联姻学院☆

☆保养电脑的26个窍门

☆文件夹删除不掉怎么办？

☆教你如何用手工迅速剿灭QQ广告

☆“熊猫烧香”病毒的病毒描述和

☆在Excel中只打印图表以外区域

☆Excel中只选中包含文本的单元

☆Windows XP操作系统的几个实用

☆用XP系统自带网络诊断程序解决

☆风雨雷电→自然现象动画实战技

☆Flash遮罩特效之百叶窗效果

☆十二个Dreamweaver鲜为人知的

☆如何用 Dreamweaver 批量做we

☆JavaScript的系统函数学习

☆Java之父:关于Java我也有遗憾

☆排除网上邻居使用4大常见麻烦

☆解除上网限制IP和MAC捆绑的破