mmao21 省长
帖子数 : 492 年龄 : 45 地点 : 广东.韶关 QQ : 176378794 精华贴 : 威望 : 勋章 : 注册日期 : 08-01-07
| 主题: “IGM.EXE”病毒紧急公告及解决方案 2008-02-06, 15:48 | |
| 该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。拦截局域网用户打开的网页。加载hxxp://ask.35832.com/main.js(为了防止点击http改成hxxp)从上面的网站下载木马盗号器,然后打开的网页会自动关闭。 病毒症状 1.MSconfig的启动项里发现IGM.EXE 2. 会生存以下文件 c:\WINDOWS\IGW.exe(新变种) c:\WINDOWS\***PSrv.exe c:\WINDOWS\DiskMan32.exe c:\WINDOWS\IGM.exe c:\WINDOWS\Kvsc3.exe c:\WINDOWS\lqvytv.exe c:\WINDOWS\MsIMMs32.exe c:\WINDOWS\system32\3CEBCAF.EXE c:\WINDOWS\system32\drivers\svchost.exe c:\WINDOWS\system32\a.exe c:\WINDOWS\upxdnd.exe c:\WINDOWS\WinForm.exe c:\WINDOWS\system32\rsjzbpm.dll c:\WINDOWS\system32\racvsvc.exe c:\WINDOWS\dbghlp32.exe c:\WINDOWS\nvdispdrv.exe c:\WINDOWS\system32\cmdbcs.dll c:\WINDOWS\system32\dbghlp32.dll c:\WINDOWS\system32\upxdnd.dll c:\WINDOWS\system32\yfmtdiouaf.dll C:\WINDOWS\49400MM.DLL C:\WINDOWS\338448WO.DLL C:\windows\235780mm.dll c:\windows\235780WO.dll 4. 启动项目--注册表之如下项删除: [WinSys] | |
|