lsass.exe和smss.exe病毒(暂定名):
经过我们的研究,并对该病毒作了一系列分析,发现该病毒主要有几大危害:
<1>感染文件。经研究,会感染U盘上和本地磁盘上的应用程序,而且会感染压缩包里的应用程序。因此造成难以清除!病毒还会感染本机内的网页文件,在网页代码最后加上一段加密过的地址,打开网页即下载病毒。
<2>在系统目录下生成文件。病毒会在C:\WINDOWS\system32\Com目录下生成netcfg.dll、smss.exe、lsass.exe、netcfg.000以及一个bak文件夹(该文件夹主要是用于病毒感染压缩包时的临时文件夹),以及在C:\WINDOWS\system32目录下生成dnsq.dll和在C:\WINDOWS\system32\drivers目录下生成alg.exe文件。
<3>在每个磁盘根目录下生成文件。病毒会在每个磁盘根目录下生成Autorun.inf、pagefile.exe以及pagefile.pif文件,并且开启系统的自动播放功能。如果用户双击打开磁盘即又感染。
<4>通过注册表隐蔽自动启动。使用一般的开机启动项查看工具根本无法发现其痕迹。
<5>破坏安全模式,使用户无法进入安全模式进行系统修复,并且删除注册表大量键。
<6>修改文件夹选项,使用户无法查看隐藏的病毒文件,进入文件夹选项,会发现“ 隐藏受保护的操作系统文件(推荐)”项目不见了,病毒还可能会对换“不显示隐藏的文件和文件夹”和“显示所有文件和文件夹”的功能。
<7>劫持下载功能,当我们下载东西时,其实下载了病毒文件,双击又再度感染!病毒可能会利用arp在局域网内传播。
<8>关闭一些杀毒软件,使无法杀毒。dnsq.dll会插入进程,导致即使同时结束smss.exe、lsass.exe进程,这两个进程还会再生。
<9>在C盘根目录,系统目录下生成多个随机七位数字的.log文件。
<10>在启动文件夹里添加随机字符的应用程序,在注册表启动项添加多个随机启动项。修改AppInit_DLLs值为非正常值。
<11>smss.exe、lsass.exe进程的用户名变为SYSYEM,更难清除。
<12>病毒还可能会盗取我们的个人隐私以及还可能存在一些未知的风险!
本专杀工具是基于我们截获的病毒样本来开发的!前段时间,学校图书馆的电脑全部感染了此病毒,我们便对病毒样本进行了研究,初步总结出以上结论。病毒随时可能会更新,本专杀工具不能保证一定能完全查杀其变种!如果出现变种无法查杀,建议勾选变种分析引擎。
lsass.exe和smss.exe病毒(磁碟机病毒)的专杀工具
5星 · 超过95%的资源 需积分: 13 125 浏览量
2009-01-14
13:00:39
上传
评论
收藏 668KB RAR 举报
zhangzp118
- 粉丝: 0
- 资源: 2
最新资源
- OpenCv 使用fffffffff
- 正点原子开拓者FPGA多人表决器代码项目
- EOP-Last5Years.txt
- windows 32位、64位系统常见缺少的库
- 毕业设计基于springboot+vue实现的求职招聘类型网站源码+数据库(高分项目).zip
- 535springboot + vue 体质测试数据分析及可视化设计.zip(可运行源码+数据库文件+文档)
- python毕业设计-基于Django+OpenCV的二维码生成与识别系统源码.zip
- 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip
- iOS APP提审checklist
- 第十四届中北大学ACM程序设计竞赛.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈