aspack_aspack 脱壳_aspack脱壳(2)

5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时。.txt的文件无常打开。可以点击文本文件的右键选择其它方式。选择使用Notepad即可。6．删掉系统system32目录下的以下程序： winrpcsrv.exe 。 winrpc.exe 。

wingate.exe。 syshelp.exe 。 rpcsrv.exe 。 iexplore.exe 。 prom0n.exe 。 irftpd.exe 。 irftpd.dll 。 iexplore.exe 。 reg.dll 。 task.dll 。 ily.dll 。 Thdstat.exe 。 1.dll 。winvnc.exe7. 清空“C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content IE5”目录下除了“desktop.ini”的所有文件。

该路径下。发现有一些后门软件。8．关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。9. 重新启动计算机。观察是否还有类似进程出现。尤其是irftpd.exe。aspack这个程序是由上述第3步的“服务”程序自动生成的。重量级病毒“恶邮差”最新变种技术分析文档1。确保主机安装有杀毒软件2。把杀毒软件病毒库更新到最新3。使用辅助工具扫描系统。例如360安全卫士。windows清理助手5。下载专杀工具查杀病毒6。

收到可疑邮件不要打开7。平时养成良好的使用习惯。勤杀毒。不要随便打开来历不明的网站。

相关报道。“恶邮差”蠕虫病毒采用ASPack压缩。

病毒邮件数量呈几何级增长。最终致邮件服务器于死地。该病毒通过电子邮件传播的性能。同一般通过邮件传播的蠕虫病毒相比有了极大的改进和提高。金山毒霸信息安全事业部总经理王峰介绍：“‘恶邮差’蠕虫病毒运行后。会搜索被感染系统的本地文件目录。在系统目录下生成文件名可能是winrpc.exe。WinGate.exe。 WinRpcsrv.exe。rpcsrv.exe或syshelp.exe的文件。同时。通过收件箱中的邮件地址向外发送带毒邮件传播自身。

由此引发的连锁反应将使病毒的传播成几何级增长。并直接导致邮件服务器的瘫痪。另外。病毒可能还会在系统目录生成1.dll。ily.dll。Task.dll。reg.dll等木马文件。还会修改注册表中系统启动项和txt文件打开的关联等”。据了解。“恶邮差”病毒感染的传播过程非常巧妙。如果感染Windows95。98。ME系统后。会修改win.ini文件。在其windows节中添加run=rpcsrv.exe。

试图生成木马文件到系统目录下。同时修改注册表。搜寻网络共享目录。10168端口。允许黑客在被感染的机器上执行不同的动作。这时中招主机就成了互联网上一台可以任人宰割的“肉鸡”。如果病毒感染是WindowsNT。2000。XP系统。病毒会复制到ssrv.exe到系统目录。并修改注册表。启动木马服务。遍历本地网络。试图登陆并感染其他计算机。“恶邮差”病毒激活后会复制自身到系统目录。文件名可能为winrpc.exe。

WinGate.exe。WinRpcsrv.exe。rpcsrv.exe或syshelp.exe。“恶邮差”病毒可能还会在系统目录下生成1.dll。ily.dll。Task.dll。reg.dll等木马文件。病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run及Runservices下添加系统启动项。还会在注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command修改txt文件的文件关联。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-41638-2.html