7/12-7/16 發作的病毒裡又辨識出了一個病毒及其行為
執行時會產生一個名為 be7b1.exe 的執行檔在 WINDOWS\SYSTEM32\ 中, 在安全模式下可殺掉,
但在執行 I E 時會自行產生.
使用BHO的病毒
下面的disable是加上去抑制病毒執行用的
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\disabel{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
在 I E 執行時會載入 上面機碼指向的程式
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}]
@="ff Class"
"AppID"="{CCF11A98-DC8C-40A9-ABAA-DF9C4D6DD923}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\InprocServer32]
@="C:\\WINNT\\system32\\0be1.dll" <-----------
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\ProgID]
@="dbho.ff.1"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\Programmable]
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\TypeLib]
@="{0FECB569-7E71-4ADB-AC44-F3C1C0E8EF2D}"
[HKEY_CLASSES_ROOT\CLSID\{FAAAC0F6-94BE-4466-934B-7C53666A2F41}\VersionIndependentProgID]
@="dbho.ff"
要切實刪除 C:\\WINNT\\system32\\0be1.dll 及be7b1.exe 方可杜絶這個病毒
(^_^ 這個病毒是在防毒軟體辨識出來前就自己找出來及辨識出其行為的哦!)
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment