扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年1月12日
关键字: wdfmgr.exe wdfmgr.exe进程 wdfmgr.exe病毒 wdfmgr.exe是什么 关闭wdfmgr.exe
页面字体DIY:
病毒名称:Backdoor.Win32.SdBot.bti(Kaspersky)
病毒别名:W32/Sdbot.worm.gen.ca(McAfee)
Backdoor.Win32.IRCbot.bdn(瑞星)
Win32.Hack.MsnBot.t.541696(毒霸)
病毒大小:541,696 字节
样本MD5:5e3088b018261589e2d0b2f535982481
样本SHA1:51f4a5addcac5d352f965037bf1557f61b068ec8
传播方式:通过MSN传播
技术分析
==========
MSN蠕虫变种,根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包,当联系人接收并页面字体DIY:
开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后在系统目录生成包含自身的带毒ZIP压缩包:
%Windows%\Z058_jpg.zip
其中包含病毒文件名为:www.Z058_jpg-msn.com
创建副本:
%Windows%\wdfmgr.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wdfmgr.exe"="%Windows%\wdfmgr.exe"
修改注册表关闭系统文件保护:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000
更改自动关闭进程等待时间:
页面字体DIY:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
破坏FTP程序文件:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
%System%\dllcache\ftp.exe
原正常程序复制到:
%System%\microsoft\backup.tftp
%System%\microsoft\backup.ftp
根据染毒系统语言向MSN联系人发送相应诱惑文字消息,同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开:
dessa 鋜 egentligen trevliga: P
gyckel m錽te se dig detta fotografera
du fick se detta dess galet :p
est
页面字体DIY:
s s鉶 realmente agrad醰eis :P
wow voc?viu este?
como voc?gosta de me nesta foto
voc?come鏾u ver este seu assim engra鏰do
Bu resimler nasil sence bir bakarmisin :)
su komik resimlerime baksana :D bak :P
Kiz kardesim bunlari sana yollamami s鰕ledi ;)
bu resimler space i鏸n nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos?divertente
come lo pensate osservi qui sguardo di lol a questo controllo di distorsione di velocit?questo
页面字体DIY:
uori
el lol mi hermana quisiera que le enviara este 醠bum de foto
vengo de fi este foto 醠bum
ey i que hace el 醠bum de foto!
Si vea el loL del em
l tipo, me acepta por favor su solamente 醠bum de foto: (!
lol meine Schwester w黱scht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he m鯿hten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
页面字体DIY:
lol he hoe vind je me hier op
eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le lol ceci est dr鬺e
ma soeur a voulu que tu regarde ca
d閒aut de la reproduction sonore avez-vous vu ceci ?
looooook :p
loooooooooooool :D
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this :P
尝试连接远程IRC:www.w
页面字体DIY:
rldcasino.to
清除步骤
==========
1.删除病毒创建的启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wdfmgr.exe"="%Windows%\wdfmgr.exe"
2.重新启动计算机
3.删除病毒文件(如遇提示无法删除文件,到down.ayren.cn下载费尔木马强制删除器工具进行强制删除):
%Windows%\Z058_jpg.zip
%Windows%\wdfmgr.exe
4.恢复被破坏的FTP程序文件,删除:
%System%\tftp.exe
%System%\dllcache\tftp.exe
%System%\ftp.exe
页面字体DIY:
然后将%System%\microsoft\backup.tftp复制到:
%System%\tftp.exe
%System%\dllcache\tftp.exe
将%System%\microsoft\backup.ftp复制到:
%System%\ftp.exe
%System%\dllcache\ftp.exe
5.修改注册表恢复系统文件保护(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000000
"SFCScan"键值可以删除。
6.恢复系统自动关闭进程等待时间(开始菜单
页面字体DIY:
运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。