科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道wdfmgr.exe病毒

wdfmgr.exe病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

MSN蠕虫变种,根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。

作者:论坛整理 来源:zdnet网络安全 2008年1月12日

关键字: wdfmgr.exe wdfmgr.exe进程 wdfmgr.exe病毒 wdfmgr.exe是什么 关闭wdfmgr.exe

  • 评论
  • 分享微博
  • 分享邮件

  最近电脑突然卡,发现进程了多了很多个wdfmgr.exe

  感觉不对,马上找到收藏夹里的在线杀毒 http://www.antidu.cn/board/online/

  查杀,果然,瑞星报毒!!!

  传播方式:通过MSN传播

  技术分析

  MSN蠕虫变种,根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。

  病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:

  %Windows%\Z058_jpg.zip

  其中包含病毒文件

  创建副本:

  %Windows%\wdfmgr.exe

  创建启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "wdfmgr.exe"="%Windows%\wdfmgr.exe"

  修改注册表关闭系统文件保护:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "SFCDisable"=dword:ffffff9d

  "SFCScan"=dword:00000000

  更改自动关闭进程等待时间:

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

  "WaitToKillServiceTimeout"="7000"

  破坏FTP程序文件:

  %System%\tftp.exe

  %System%\dllcache\tftp.exe

  %System%\ftp.exe

  %System%\dllcache\ftp.exe

  原正常程序复制到:

  %System%\microsoft\backup.tftp

  %System%\microsoft\backup.ftp

  根据染毒系统语言向MSN联系人发送相应诱惑文字消息,同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开:

  尝试连接远程IRC

  清除步骤

  (先去下载杀毒工具:http://www.antidu.cn/board/helpst/)

  1. 删除病毒创建的启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "wdfmgr.exe"="%Windows%\wdfmgr.exe"

  2. 重新启动计算机

  3. 删除病毒文件:

  %Windows%\Z058_jpg.zip

  %Windows%\wdfmgr.exe

  4. 恢复被破坏的FTP程序文件,删除:

  %System%\tftp.exe

  %System%\dllcache\tftp.exe

  %System%\ftp.exe

  %System%\dllcache\ftp.exe

  然后将%System%\microsoft\backup.tftp复制到:

  %System%\tftp.exe

  %System%\dllcache\tftp.exe

  将%System%\microsoft\backup.ftp复制到:

  %System%\ftp.exe

  %System%\dllcache\ftp.exe

  5. 修改注册表恢复系统文件保护:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  "SFCDisable"=dword:00000000

  "SFCScan"键值可以删除。

  6. 恢复系统自动关闭进程等待时间

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

  "WaitToKillServiceTimeout"="20000"

  (如果还是杀不了,去找个专杀工具:http://www.antidu.cn/board/zsst/)

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章