Adware.Winsdup.d是一種木馬病毒,知識庫編號是 RSV0707697。
基本介紹
- 中文名:Adware.Winsdup.d
- 知識庫編號:RSV0707697
- 內容分類:木馬病毒
- 適用產品分類:瑞星防毒軟體..標準版.2007
- 瑞星防毒軟體:單機版.下載版.2007
- 關鍵字: Adware.Winsdup.d;清除
傳播形式
該病毒使用VC6編寫,屬於廣告類病毒,該病毒具有以下行為:
1、生成檔案:
病毒運行後建立路徑"%ProgramFiles%\winp",並在此路徑釋放如下檔案:
code.dll;lexi.lex;play.dll;snet.dll;stdi.ini;stdl.ini;stub.dll;upiilex.ini;upme.ini;vote.dll
2、新建註冊表信息:
HKLM\System\CurrentControlSet\Services\svcs = 新建子鍵
HKLM\System\CurrentControlSet\Services\svcs\Type = 0x110
HKLM\System\CurrentControlSet\Services\svcs\Start = 0x2
HKLM\System\CurrentControlSet\Services\svcs\ErrorControl = 0x1
HKLM\System\CurrentControlSet\Services\svcs\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKLM\System\CurrentControlSet\Services\svcs\DisplayName = "Windows svcs RunThem"
HKLM\System\CurrentControlSet\Services\svcs\Security = 新建子鍵
HKLM\System\CurrentControlSet\Services\svcs\Security\Security = 01 00 14 80 A0 00 00 00 ...
HKLM\System\CurrentControlSet\Services\svcs\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters = 新建子鍵
HKLM\SYSTEM\CurrentControlSet\Services\svcs\Parameters\ServiceDll = "C:\PROGRA~1\winp\snet.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ = 新建子鍵
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\DisplayName = "Windows svcs UnInstall"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\UninstallString = "C:\WINNT\System32\rundll32.exe C:\PROGRA~1\winp\snet.dll,Service -u"
3、病毒嘗試連線如下網址,並下載檔案
update.borlander.cn
http://update.borlander.cn/upstdad5/updstdii.ini
http://update.borlander.cn/upstdad5/updstdix.ini
http://update.borlander.cn/upstdad5/updadini.ini
http://update.borlander.cn/upstdad5/updadlex.ini
www.borlander.com.cn
http://www.borlander.com.cn/jsp/gi.jsp?t=%d
4、病毒根據下載的檔案中的信息,彈出IE顯示指定的廣告網頁或進行點擊
Adware.Winsdup.d病毒的查殺清除方法:
1、將瑞星卡卡上網安全助手升級到最新版本,進行惡意及流氓軟體清理。
2、將瑞星防毒軟體升級到最新版本,全盤查殺。
本文提供Adware.Winsdup.d病毒資料以及清除方法。
