文件名稱(chēng)：gg.exe


文件大?。?5607 byte


AV命名：


Worm.Win32.AutoRun.wp  卡巴斯基

Worm.Delf.65607  金山毒霸

Win32.HLLW.Autoruner.548   Dr.WEB


加殼方式：未


編寫(xiě)語(yǔ)言：Microsoft Visual C++ 6.0


文件MD5：33d493af096ef2fa6e1885a08ab201e6


行為分析：


1、  釋放病毒文件：


C:\WINDOWS\gg.exe  65607 字節(jié)


2、  添加啟動(dòng)項(xiàng)：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 (注冊(cè)表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"


3、  查找可用磁盤(pán)，生成：autorun.inf和gg.exe，實(shí)現(xiàn)U盤(pán)感染。


4、  連接121.206.1.2××下載木馬，不過(guò)未實(shí)現(xiàn)。


5、  直接獲取系統(tǒng)內(nèi)存，隱藏自身，防止被結(jié)束。


解決方法：


1、  下載冰刃和SREng(均可到down.45it.com下載)。

2、  打開(kāi)冰刃，結(jié)束病毒進(jìn)程。（gg.exe）

3、  打開(kāi)SREng，刪除啟動(dòng)項(xiàng)：


(注冊(cè)表值) ctfmon.exe，指向的C:\windows\gg.exe。


注意不要?jiǎng)h除錯(cuò)了。

4、  刪除病毒文件：


C:\WINDOWS\gg.exe  65607 字節(jié)


5、  用winrar刪除磁盤(pán)底下的文件，注意不要雙擊進(jìn)入磁盤(pán)，不要病毒又復(fù)活了。


6、若無(wú)法清除，請(qǐng)把病毒樣本發(fā)送至526170722@qq.com