基本介紹
- 中文名:病毒Virus.Win32.Alman.b
- 行為:感染後綴為:EXE和SCR的執行檔
- 解決方法:下載 xdelbox 最新版
- 類型:病毒
前注,行為,摘錄,解決方法,
前注
中此病毒的系統,將會很慘,可能不得不備份文檔後重灌系統。
提醒用戶及早升級防範virut病毒,如果不幸中招,可根據受損程度處理。如果系統EXE破壞嚴重,可以採用備份進行還原,沒有備份的情況下,覆蓋安裝可以最大程度減少損失。實在不想麻煩,可以將機子停用個把星期的時間,然後升級病毒庫,再查殺,說不定一切迎刃而解了。
這個病毒使用的加密引擎來自波蘭,那個IRC伺服器域名為 proxim.ircgalaxy.pl,貌似也是波蘭的域名。
行為
該病毒的其它行為:
感染後綴為:EXE和SCR的執行檔:
如果檔案名稱以下面的開始,則不感染
WINC
WCUN
WC32
PSTO
連線IRC伺服器:
proxim.ircgalaxy.pl
加入頻道:
#virtu
接收遠程指令。
摘錄
1 windows 目錄下的linkinfo.dll(33792 位元組),正常的linkinfo.dll(19968 位元組)在windows\system32目錄下,該檔案是病毒的感染與傳播部分,一旦該檔案啟動之後,就會從網上下載apphelps.dll(有正常的apphelp.dl檔案l,但不在該目錄下) 到windows\apppatch目錄,並注入explorer.exe,以及多種常見的網遊客啟端,並利用自帶字典猜解區域網路內所有機器的共享密碼 (sb,估計是從熊貓那學來的,基本上不會成功),若成功則將病毒檔案複製過去,並啟動守感染程式(ins.exe,只從代碼中看出,不過我沒有發現這個程式)和守護服務riodrvs.sys(tmd,驅動),那像還會注入一些程式,沒仔細看.
2 windows\system32\drivers下的riodrvs.sys,正常的是riodrv.sys,這個程式估計是感染部分exe檔案(我的一些exe檔案壞了,有些沒壞,看不出規律),阻止反編譯軟體,令icesword,sms之類強力工具不能啟動用的,真是強,不過還沒有分析這個檔案.
還有沒有不正常的檔案還有待進一步分析.
症狀
中毒後壓縮檔案全部被感染,圖示變得肥腫,點擊系統盤(簡稱C糟)以外的盤有時會出現藍屏,進到系統後,防毒軟體打不開,重裝了系統還是不行,再點擊C糟以外的盤,又被感染!
解決方法
下載 xdelbox 最新版,先刪除hklm\system\currentcontrolset\services\riodrv項,運行 xdelbox 後,選中"抑制再生"與"驅動安全刪除"選項,刪除以上提到的三檔案,重啟刪除即可,部分被破壞的程式好像不能用了,但至少大多數還好,等等吧,等這個病毒流行之後,下個專殺工具再來處理 linkinfo 病毒初步解決方案先講初步的解決方案:
1)首先在windows\system32\drivers\etc\hosts檔案中添加以下幾行127.0.0.1 target=_blank>www.imrw0rldwide.com127.0.0.1pic ... tj.imrw0rldwide.com
2)(系統盤是ntfs格式者勿用,xdelbox據說對ntfs格式有問題)下載xdelbox1.2,給一地址,僅供參考http://www.i170.com/attach/51fd704f-c0bd-41e7-b0e9-60673a888fd6運行xdelbox,將windows\system32\drivers\riodrvs.sys,(有些機器上還有dkis6.sys,若有也加入)windows\apppatch\apphelps.dll,windows\linkinfo.dll(這個一定要刪)加入到刪除列表,選中"抑制再生"與"驅動安全刪除"選項,重啟刪除.
3)刪除註冊表中的刪除hklm\system\currentcontrolset\services\riodrvs項我的機器經過這樣處理之後就沒有再復發了,雖然運行感染了的程式之後,hklm\system\currentcontrolset\services\riodrvs還可能出現,不過已經沒有感染力了,被破壞的程式如果捨不得刪除的話就留下等有專殺工具出來吧.還有一點說明就是,用xdelbox1.2,主要是由於其抑制再生的功能可以阻止該病毒再次感染,很不錯.
PS. 新發現防毒AVAST 好像可修復感染的EXE檔