基本介紹
- 中文名:win.exe
- 外文名:win.exe
- 進程檔案:win 或 win.exe
- 進程位置: windir
- 程式名稱:W32/Sdbot-QI
- 在什麼系統:windows3.1和windows3.2
簡介,程式用途,進程分析,行為分析,解決方法,
簡介
WIN.EXE或WIN是一種木馬病毒的變種。
程式用途
進程分析
系統進程: 否
後台程式: 是
使用網路: 是
硬體相關: 否
安全等級: 低
該病毒修改註冊表創建系統服務win-xp或NSCYM實現自啟動win.exe,同時修改註冊表創建系統服務COM+ System 或WindowsPigeon實現自注入病毒模組System Volume Information er.dll,病毒利用計算機網路與利用弱密碼已分享檔案夾傳播,包含的後門木馬功能,能夠讓非法入侵者遠程控制。病毒會嘗試刪除網路共享,參予Dos攻擊,竊取計算機信息下載和管理檔案,並可能竊取密碼。病毒檔案還可以是:stem.exe,scr.dll,expl0rer.exe,adg3.exe,ale.exe等,實際上是灰鴿子木馬病毒的變種。
電腦突然卡,發現進程了多了很多個win.exe
感覺不對,馬上用線上防毒http://www.antidu.cn/board/online/ 查殺
瑞星報毒!!!
檔案名稱稱:AutoRun.exe、WIN.exe
檔案大小:102400 byte
AV命名:
江民:TrojanDownloader.Agent.uec
卡巴斯基:Virus.Win32.Downloader.ab
瑞星:Win32.Downloader.n
NOD32:Win32/Mypis.J virus
行為分析
1、 不釋放任何副本和啟動項,因為被感染的檔案等同於病毒
2、查找可用磁碟,生成Autorun.exe和Autorun.inf。(未實現)
3、獲取物理記憶體,可能作為隱藏進程用,不過沒有實現。
4、保證一個互斥體,標誌為“wokaon”避免多個病毒體在運行。
5、查找硬碟EXE和SCR檔案並感染,首先跳過以下資料夾:
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
Documents and Settings
感染後的檔案增加一區段,裡面包含下載木馬的命令,並修改入口點優先執行病毒。
6、查找"IEFrame" 類名視窗並關閉,可能導致一些瀏覽器被關閉。
7、連線網路,下載3個木馬,並保存至本地為:
c:\Program Files\Common Files\m1.exe
c:\Program Files\Common Files\m2.exe
c:\Program Files\Common Files\m3.exe
測試時並沒有實現。
解決方法
專殺工具: http://www.antidu.cn/board/zsst/
因為沒有啟動項,所以不需要檔案和註冊表
1、 刪除各個盤符下的autorun.inf autorun.exe
2、清理磁碟上的所有臨時檔案。
3、下載殺軟,全盤掃描,修改被感染過的檔案。
