Email-Worm.Win32.Locksky.ag病毒屬蠕蟲類,病毒運行後複製自身到%system32%下,修改註冊表,添加啟動項,以達到隨機啟動的目的,該蠕蟲可以利用計算機網路的安全漏洞在網路上傳播。可以給用戶的E-mail地址薄的每個人傳送郵件來傳播自己的副本,消耗大量的系統資源而引起計算機的不安全。
基本介紹
- 外文名:Email-Worm.Win32.Locksky.ag
- 公開範圍: 完全公開
- 危害等級: 中
- 檔案長度:27,652 位元組
簡介,病毒描述,清除方案,
簡介
病毒類型: 蠕蟲
檔案 MD5: 33C1B70390B4FADAB3E148F7A62AB3E1
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: 未知殼
命名對照: Symentec[]
Mcafee[]
病毒描述
行為分析:
1、病毒運行後複製自身到%system32%:
%system32%\spoolsvv.exe
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
值: 字元串: "spoolsvv "="C:\WINDOWS\system32
\spoolsvv.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\kmixer\Enum
值: 字元串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\kmixer\Enum
值: 字元串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d
}\ {9B365890-165F-11D0-A195-0020AFD156E4}"
3、該蠕蟲可以利用計算機網路的安全漏洞在網路上傳播。可以給用戶的E-mail地址薄的每個人傳送郵件來傳播自己的副本,消耗大量的系統資源而引起計算機的不安全。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%system32%\spoolsvv.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
值: 字元串: "spoolsvv "="C:\WINDOWS\system32\spoolsvv.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\kmixer\Enum
值: 字元串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\kmixer\Enum
值: 字元串: "0"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}
\ {9B365890-165F-11D0-A195-0020AFD156E4}"
