WuaucltReplace类病毒的防范技巧 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → WuaucltReplace类病毒的防范技巧

WuaucltReplace类病毒的防范技巧 时间：2008/10/29 2:15:00来源：本站整理作者：我要评论(0)

这类病毒目前很流行。多通过网页挂马、移动存贮介质传播。

中毒症状：
1、瑞星等多中杀软失效。
2、各分区根目录下出现2－5个随机字母名称的.pif文件和autorun.inf文件。
3、替换系统驱动beep.sys，恢复SSDT（使多种杀软失效的原因）。
4、替换%system%和%system%\dllcache目录下的WINDOWS自动更新程序wuauclt.exe（瑞星因此将这类病毒冠以WuacltReplace之名）。正常53K大小的wuauclt.exe被替换为23K的病毒程序wuauclt.exe。在%system%\drivers目录下释放病毒驱动npf.sys，在桌面释放一个隐藏的驱动.sys（具体名字忘记了）。
5、在Documents and Settings目录下释放数字名.pif若干。在Documents and Settings\All Users\「开始」菜单\程序\启动目录下释放一个3.pif。
6、在%Program Files%目录下释放字母名.pif一个。
7、添加IFEO劫持项N个，废掉多种杀软或杀毒辅助工具。增加中招后的查杀难度。
8、更改注册表N处。
9、下载大量木马到中招系统中。

此毒目前变种频繁，一天可以更新换代2－3次。中招后杀毒比较麻烦或杀软根本就不报毒。因此，用户应招眼预防。

以下是利用瑞星主动防御预防此毒的设置（共7个图），供有动手能力者参考。
经实机运行此毒样本若干，证实此设置的防御效果可靠。

注：此设置限制较严。禁止了驱动安装、加载，封死了系统目录以及系统驱动目录。因此，用户安装某些带驱动的应用程序时，应事先断网、关闭瑞星所有监控。然后，再安装。安装完毕，再打开瑞星监控。

相关视频

没有数据

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之