文件名称: softmuma.exe
文件大小: 45233 字节
MD5: E2C32E4E0CD6205C4654C98C152EAB6E
加壳: FSG
编写语言: Delphi
病毒名: kaspersky: N/A
文件名称: softmuma.exe
文件大小: 45233 字节
MD5: E2C32E4E0CD6205C4654C98C152EAB6E
加壳: FSG
编写语言: Delphi
病毒名: kaspersky: N/A
详细资料:
文件变化:
释放文件
%System%\softmuma.exe
修改注册表:
病毒创建启动项
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mick"="%System%\softmuma.exe"
其他行为:
病毒运行cmd命令,关闭系统自带防火墙
/c net stop sharedaccess
病毒修改系统时间为:
2002年 3月3日 19:02
访问网络下载病毒
http://0001.0168xxx.cn/1.exe
http://0001.0168xxx.cn/2.exe
http://0001.0168xxx.cn/3.exe
http://0001.0168xxx.cn/4.exe
http://0001.0168xxx.cn/5.exe
http://0001.0168xxx.cn/6.exe
http://0001.0168xxx.cn/7.exe
http://0001.0168xxx.cn/8.exe
http://0001.0168xxx.cn/9.exe
http://0001.0168xxx.cn/10.exe
http://0001.0168xxx.cn/11.exe
http://0001.0168xxx.cn/12.exe
http://0001.0168xxx.cn/13.exe
http://0001.0168xxx.cn/14.exe
http://0001.0168xxx.cn/15.exe
http://0001.0168xxx.cn/16.exe
下载完成后存放在%windows%目录下,而后运行
病毒搜索C.D.E.F.G盘内 .htm/.asp/.php 网页文件,插入恶意代码:
<iframe src={URL} width=0 height=0></iframe>
搜索感染后生成文本用于记录
%ProgramFiles%\NetMeeting\c.txt
%ProgramFiles%\NetMeeting\d.txt
%ProgramFiles%\NetMeeting\e.txt
%ProgramFiles%\NetMeeting\f.txt
%ProgramFiles%\NetMeeting\g.txt
清除方法:
1.删除文件(如提示不能删除,可到http://www.motoyi.com/Down/Noted/200706/Down_68.shtml下载费尔木马强制删除器工具 进行强制删除)
%System%\softmuma.exe
%ProgramFiles%\NetMeeting\c.txt
%ProgramFiles%\NetMeeting\d.txt
%ProgramFiles%\NetMeeting\e.txt
%ProgramFiles%\NetMeeting\f.txt
%ProgramFiles%\NetMeeting\g.txt
2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动选项卡禁用softmuma.exe项)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mick"="%System%\softmuma.exe"
3.在安全模式使用反病毒软件全盘扫描清除病毒(重启系统长按F8直到出现提示,然后选择进入安全模式)
4.修改回系统时间
5.使用工具或手工修改被感染的网页文件
备注:此病毒最难清除的部分就是被修改的网页文件 |
您现在的位置: 