木馬下載者變種nkm”(Trojan/Win32.Pakes.nkm) 威脅級別:★★★★
基本介紹
- 中文名:Trojan/Win32.Pakes.nkm
- 類型:木馬類
- 方法:釋放驅動檔案到%System32%
- 性質:木馬下載者變種
簡介,防毒方法,
簡介
該病毒為木馬類,運行之後調用系統核心程式調用API函式獲取系統當前時間並修改時間,釋放驅動檔案到%System32%\drivers下,替換系統的驅動檔案,恢復主動防禦掛鈎的函式使卡巴斯機主動防禦功能完全失效,創建.dat檔案到%HomeDrive%目錄下,並創建服務等待服務載入完畢後將病毒服務與dat檔案刪除。向系統進程“explorer.exe”注入病毒代碼,使其進程執行病毒指定的惡意代碼,隱藏調用載入iexplore.exe系統進程,將.dat病毒檔案代碼寫入該進程記憶體中,等待病毒完全載入完畢後衍生批處理檔案將病毒自身刪掉,連線網路下載大量病毒檔案。
病毒繁殖能力強!只要還剩一個病毒潛伏就會重新爆發!病毒爆發會造成360安全衛士不可用及卡巴斯基防毒軟體被強制關閉!
防毒方法
首先複製以下代碼:
@echo off
echo 正在終止病毒進程並免免疫,請稍等......
taskkill /f /im TXPlatfOrmm.exe
del c:\windows\system32\Drivers\txp*.exe /f /s /q /a
md c:\windows\system32\Drivers\www
ren c:\windows\system32\Drivers\www TXPlatfOrmm.exe
attrib c:\windows\system32\Drivers\www TXPlatfOrmm.exe +R +S +H
echo 正在清除病毒生成的垃圾檔案,請稍等......
del C:\WINDOWS\Tasks\*.job /f /s /q /a
del c:\Desktop_1.ini /f /s /q /a
del D:\Desktop_1.ini /f /s /q /a
del e:\Desktop_1.ini /f /s /q /a
del f:\Desktop_1.ini /f /s /q /a
del g:\Desktop_1.ini /f /s /q /a
del h:\Desktop_1.ini /f /s /q /a
del i:\Desktop_1.ini /f /s /q /a
del c:\Desktop_2.ini /f /s /q /a
del D:\Desktop_2.ini /f /s /q /a
del e:\Desktop_2.ini /f /s /q /a
del f:\Desktop_2.ini /f /s /q /a
del g:\Desktop_2.ini /f /s /q /a
del h:\Desktop_2.ini /f /s /q /a
del i:\Desktop_2.ini /f /s /q /a
