W32.Dizan 病毒的分析及防御.docx

《W32.Dizan 病毒的分析及防御.docx》由会员分享，可在线阅读，更多相关《W32.Dizan 病毒的分析及防御.docx（2页珍藏版）》请在第一文库网上搜索。

1、W32. Dizan病毒的分析及防御病毒现象：1创建以下文件：%system%mmc. exe替换掉系统正常的mmc. exe%Windows%session.exe%Windows%svchost. exe%System%SocksA. exe%System%FileKan. exe2服务项中创建一个服务：服务名称：Smart Card Supervisor路径：%system%mmc. exe3创建以下注册表项和键值HKEY_LOCALJlACHlNESYSTEMCurrentControlSetServicesmmcHKEY_LOCAL_MACHINESYSTEMCurrentContr

2、olSetENUMROOTLEGACY_MMCHKEYJJOCALJIACHTNESOFTWAREMicrosoftWindowsCurrentVersionRun添加值：ck = z/%System%msdm. exe /autorun”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“ASocksrv=SocksA. exe4搜索所有磁盘中的EXE可执行文件，并感染，包括系统文件。5开个后门TCP端口 3000,并监视MMC. EXE的存在病毒的传播途径：通过恶意网页传播，其它木马下载，可移动存储设备（如U盘、MP3、移

3、动硬盘）病毒查杀：采用Symantec升级到最新版本和定义码查杀。解决办法:1 .禁用系统还原，并删除相关备份文件；2 .结束病毒进程：%System%mmc. exeX:tel. xls. exe%Windows%svchost.exe%System%SocksA. exe3 .删除病毒文件：%Windows%BACKTNF. TAB%Wi ndows%sess i on. exe%Windows%svchost. exe%System%SocksA. exe%System%FileKan. exe%System%mmc. exe4 .通过磁盘驱动器右键菜单进入根目录：右键点击驱动器盘符，点

4、击菜单中的“打开”进入驱动器根目录，删除根目录下的文件：X:autorun. infX:tel. xls. exe5 .升级Symantec防病毒软件版本和定义码至最新；6 .删除注册表项和键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmmcHKEY_LOCAL_MACHTNESYSTEMCurrentControlSetENUMROOTLEGACY_MMCIIKELLOCALJIACIlINESOFTWAREMicrosoftWindowsCurrentVersionRunck = 96System96msdrn.exe /autorun”IIKELLOCALJIACIlINESOFTWAREMicrosoftWindowsCurrentVersionRun“ASocksrv=SocksA. exe7.进行全面扫描，清除已经感染的EXE文件，并彻底删除病毒文件