廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2054 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x2
[資訊教學] MSN防範 手動清除chcp.exe病毒
MSN防範 手動清除chcp.exe病毒

 病毒分析

  該病毒屬於MSN蠕蟲變種,被感染的計算機會自動向MSN聯係人發送誘惑文字消息和帶毒壓縮包,當對方接收並打開帶毒壓縮包中的病毒文件時,係統即成爲新的受害者,並因此嘗試感染另一台計算機。病毒大小爲434,176 字節,通過MSN聊天工具進行傳播。

  被感染的計算機,病毒首先會在係統目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮包,隨後病毒自身開始在計算機中的%Windows%目錄下創建副本chcp.exe 執行文件,並在注冊表

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  分支下建立"chcp.exe"="%Windows%\chcp.exe"自啓動項目,然後病毒開始修改注冊分支

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值,進行關閉係統文件保護,並且更改

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  分支下的 "WaitToKillServiceTimeout"=的值爲"7000",達到更改自動關閉進程等待時間的效果。

  完成上述後,病毒仍沒有安靜的等待,而是查找被感染的計算機中是否存在FTP目錄,如果有則將原正常程序改名爲backup.ftp、 backup.tftp並複制到%System%\microsoft目錄下,隨後在係統目錄%System%下寫入ftp.exe、tftp.exe、 dllcache\tftp.exe、dllcache\ftp.exe可執行程序,做完一係列的手腳,病毒開始向MSN聯係人發送誘惑型文字消息,並夾帶毒包F0538_jpg.zip欺騙用戶打開。

  清除方法

  中了此毒的用戶也不要緊張,在了解了生存原理後要想清除該病毒也非難事,只要按照以下幾個步驟實施即可將病毒清除出界,讓係統中的MSN正常運行。

  一、首先要進入注冊表分支

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  下,將"chcp.exe"="%Windows%\chcp.exe"自建的隨機啓動項刪除,完成後重啓計算機。

  二、進入%Windows%\目錄下將病毒源體文件chcp.exe及F0538_jpg.zip壓縮包刪除。

  三、將目錄%System%下的FTP破壞代替程序ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ ftp.exe刪除,並將%System%\microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。

  四、刪除注冊表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000鍵值,恢複係統文件保護。

  五、最後將注冊表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改爲"20000" 從而恢複係統自動關閉進程等待時間的默認配置。

  筆者按:在MSN病毒中變體有很多種如:MSN機器人、MSN小醜、MSN性感相冊等,其原理都是利用MSN作爲平台在同聊友溝通的同時發送病毒信息,通過MSN好友關係欺騙用戶點擊,然後再次傳播,從而形成強大的傳播途徑。爲了更好的處理此類病毒,這裏建議用戶加強計算機的先期保護如:開啓殺軟定時升庫,安裝安全類軟件,不定期打入係統補丁等,並且多了解每日病毒動態,即時作好防範工作即可,一但用戶被感染時應立即作出回應,利用手工刪除或下載相應的專殺工具進行清理,以免讓更多的用戶成爲受害者。



爸爸 你一路好走
獻花 x1 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-11-13 13:00 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.087236 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言