根据光华反病毒研究中心专家介绍,Backdoor.Ripgof.C 是个后门病毒,长度 179,406 字节,感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 系统。它修改注册表,打开后门等待黑客命令,当收到、打开此病毒时,有以下危害:
A 创建以下文件
Win目录\Help\PWREP.CHI
Win目录\inf\iplbk.inf
Win目录\inf\optkec.inf
Win目录\kentgo.log
系统目录\niprp.dll
系统目录\pwfsh.dll
B 如果回收站(Recycled)目录存在,产生以下文件
ctv.dat
lip.dat
qkf.dat
C 创建修改以下注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5ECDAA08-B706-41C6-8F09-C69D1C45C66A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PWFlash.PowerFlash
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PWFlash.PowerFlash.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_IPRIP
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Iprip
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
D 打开后门,连接以下地址等待命令
http://ct.kkwyx.com/uxb/bmwc[已删除]
http://sk.com/bmwc[已删除]
二 W32病毒 W32.Dutan.A 危害级别:★☆☆☆☆
根据光华反病毒研究中心专家介绍,W32.Dutan.A 一个W32病毒,长度 548,864 字节,感染 Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 系统。它复制自身到网络共享和移动盘上传播,当打开此病毒时,主要有以下危害:
A 复制自身到
系统目录\winxpsp2.dll
系统目录\csrsss.exe
系统目录\svchosts.exe
B 创建文件到网络共享和移动盘
svchosts.exe
autorun.inf
C 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft OfficeTool" = "svchosts.exe"
使得开机后病毒自动执行
D 修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}\"BaseClass" = "Drive"
E 搜索硬盘上的所有xls文件,然后将2k随机数据写入,这些文件将不再被Excel识别,不过不用担心,使用光华反病毒软件扫描就可以识别这些文件并完全恢复。
