作者:之家技术ZGCC
今天上网,下载一个什么小程序忘了,本来想到安装了Windows7 7264, UAC也没关(按默认设置),也不是Administrator用户,NOD32也是最新病毒库,应该没事,有病毒也应该安全。。。于是下载下来的EXE随手双击。。。没反应呢。。。再双击,也没反应,于是引起我的怀疑。。。用NOD32扫描系统,找到C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE是可疑文件,因为我刚装7264系统,并没有安装OFFICE,哈哈,一眼就看出来这是个病毒!!顺便查了一下注册表,乖乖,这个文件是一个服务。。。
很奇怪的是运行这个程序时NOD32和UAC均没有报警!!!
于是我大胆断言:此病毒可以突破WINDOWS7 7264 的UAC(用户帐户控制)!
当然我是直接双击,非“以管理员身份运行”,而当前用户也非Administrator(禁用了Administrator用户)。
本来想上网找找这个病毒的资料,但百度也打不开,各个安全网站杀毒网站也被屏蔽了,郁闷。。。
于是,只有手工研究了大约半小时终于搞清楚了:
这个病毒可以以普通用户进行安装!! 此病毒自动安装到:
C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE (属性:隐藏系统只读)
它可以突破UAC,自动创建服务:MSSQL
修改hosts文件,把杀毒和安全网站的连接全部指向: 127.0.0.1
常用连接(如 百度)全部指向 205.209.148.243 即 www.yl177.com.cn
病毒样本(切记不要双击运行哈,专业人士除外!!): http://www.kkzj.com/
解压缩密码:111
附上手工清除办法:
1、首先进入services.msc 找到MSSQL服务,禁用。
2、管理员身份打开“命令提示符”运行:sc delete mssql (这样服务就删除了)
3、手工删除文件 C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE (是隐藏只读文件,需要打开文件夹选项先,如果删不掉,就重启电脑再删除)
4、手工修改回hosts文件(也可以从正常的电脑上拷贝过来覆盖之),该文件位于:c:\windows\system32\drivers\etc\ (管理身份运行的"记事本"就可以修改它)
5、重启电脑,再次从1-4步骤检查一遍,OK!
有用
53
