看了几个administrator.vbs病毒的求助,发现它有点狡猾,不是一般的利用autorun.inf,还修改了文件关联。从SREng中显示的文件关联情况来看,它篡改如下文件关联(当然如果变种的话,不一定是这几个文件关联,后面的文件路径也可以变):
.TXT Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.REG Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.SCR Error. [AutoCADScriptFile]
.CHM Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
.HLP Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* ]
注意后面的wscript.exe,和以前在某个病毒的autorun.inf中看到的类似,也是用wscript.exe调用一个vbs病毒文件,怪不得有的文章认为要把wscript.exe也删除掉,当然wscript.exe是系统文件,最好不要随便删除,改名还是可以的。
由于修改了文件关联,导致即使你发现了硬盘分区下的autorun.inf及病毒文件并删除,也不能清除系统中的病毒,何况administrator.vbs文件还藏在系统文件夹中。
处理方法当然首先是删除各硬盘分区根目录下的autorun.inf及其指向的文件(此例中也是administrator.vbs,并修复文件关联,同时全盘搜索删除administrator.vbs文件。
后来到网上查了下,才发现原来这玩艺原来不简单的说,它的名字不一定是administrator.vbs,而是根据你的登录用户名来定,你登录windows的用户名是什么,它就起什么名字,比如你的用户名是abc,就是abc.vbs,还有一个同名的ini配置文件,比如是administrator.vbs,就有一个administrator.ini,也在windows文件夹下。该病毒除了修改文件关联、产生autorun.inf,还会自动搜索本地电脑上的网页文件并把自身插入其中,同时还会删除一些特定的视频文件(据说是A片),当然也会阻止显示隐藏文件、打开被关闭的硬盘、U盘自动播放功能。最后还在内存中监视,如果自己的文件被删除、注册表被恢复,就重新感染。
所以除了上面说的清除方法,还是要全盘查杀修复被感染的文件,修复其它被修改的注册表项。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/31.html
