2007-8-20 15:06
study
U盘病毒jun.exe
一、中毒症状:
这个病毒有点奇怪,是一个宣传性质的病毒,主要是推广那个“军军”笔记本专卖。中毒后最显著的症状就是,再“我的电脑”图标上右键单击,选择“属性”,在出现的系统属性对话框中,“常规”项下会有关于“军军”的宣传信息和图片。只要有着两个信息,就证明已经中了病毒。此外,在任务管理器中还可以看到jun.exe病毒进程。
二、行为分析:
生成文件:
C:\WINDOWS\system32\jun.exe 765603
C:\WINDOWS\system32\oeminfo.ini 524
C:\WINDOWS\system32\oemlogo.bmp 40374
X:\autorun.inf
X:\jun.exe
修改注册表项,添加自启动:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>
oeminfo.ini的内容:
Manufacturer=南通『军军』笔记本专卖
Model=笔记本出售、出租、维修中心
[Support Information]
Line1= 笔记本芯片级维修中心
Line2=
Line3= 出租、出售、维修各种笔记本:Dell、IBM、Winbook、Compaq、
Line4=Hp、Sony、Lenovo、Toshiba
Line5=『军军』笔记本宝隆店
Line6=地址:宝隆一楼160号
Line7=联系电话:85515187
Line8=
Line9=『军军』笔记本环西店
Line10=地址:环西文化广场新世纪大厦二楼240#
Line11=联系电话:85126262
Line12=
Line13=联系人:于先生
三、手动解决方法:
1、结束进程jun.exe
2、依次删除:
C:\WINDOWS\system32\jun.exe
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\oemlogo.bmp
将各盘符下的autorun.inf,jun.exe删除
3、删除注册表启动项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>