主要从网上下载某个应用程序时候,通过在一个下载站中进行下载程序时候,使用下载站自带的下载器下载文件后被感染。
1、行动轨迹:
一是:其在C:\ProgramData\Synaptics创建原始病毒文件夹,内含“WS”子文件夹[为空]和“Synaptics.exe”文件[大小:754KB]。
二是:其在C:\用户\***\AppData\Local\Temp中,释放文件“qk3296d7.exe”大小:753KB
二、病毒感染特点:
①运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变;
②可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”;
③被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件;
④系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。[成为新的感染源。
⑤病毒只感染可执行文件,无法感染压缩文件。
⑥病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪。
⑦注册表中创建2个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mydesk"
"hkey"="HKCU"
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Synaptics Pointing Device Driver"
"hkey"="HKLM"
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e
三、处理方法:
先删除病毒的自启动项;
再删除病毒本体及复制体文件及文件夹;
用杀软全盘剿杀,并重新启动系统,再次全盘在剿杀。
四、X度搜索的病毒特点:
①感染型病毒,就是将自身隐藏在其它执行程序中,达到传播和作恶目的病毒,只要被感染的程序运行,病毒也就跟着激活了。病毒和被感染的程序就像宿主和寄居的关系,只要不破坏宿主,用户就很难发现程序确实中毒了,病毒也得以继续隐藏、作恶,比如窃取你的上网信息、回传系统信息、开后门下载其它病毒等等。更可恶的是,还能继续感染电脑上其它可执行的程序,影响甚大。
②感染型病毒具备寄生性、传染性、潜伏性,隐蔽性、破坏性、可触发性等等各种特征,确保不让用户发现还能做坏事。
③常在河边走,那有不湿脚,但要注意系统的异常,及时止损。
④能装还是装个杀毒软件,因为如果你不是喜好,你不可能座上24小时战斗的。
五、个人总结
1、如果感染此病毒期间,电脑用过U盘,肯定已经感染。都须及时用杀毒软件查杀及修复,否则后期会反复感染,没有尽头!!!
2、如果已经感染此病毒,病毒会在正常的*.exe文件后追加一段代码,你一运行,它就会进行疯狂复制和感染,请一定不要试着运行,用杀毒软件查杀及修复