近日截获一款伪装360修复工具的病毒,该病毒会释放tmp格式的随机文件名驱动。该驱动会导致大量安全软件运行时提示不是有效win32应用程序。
图1
图2
常用的安全软件例如:360安全卫士、冰刃、Autoruns、gmer、RootkitUnhooker等。
创建多个特权进程访问网络:
创建进程
弹情色网页后台下载各类病毒:
删除病毒
在启动目录下释放启动项baidu.lnk:
属性
Windows目录存放自身文件:
存放文件
写入仿冒360安全卫士与卡巴斯基的版本信息:
仿冒信息
处理方法:
删除
由于病毒驱动目前未设置随机启动,启动靠启动文件夹下的启动项启动并释放随机驱动文件。故删除启动文件夹下的baidu.lik文件即可。
