此毒运行后释放下列文件:
%system%brastk.exe
%system%diversdllcachefigaro.sys
改写系统文件:
%system%diversbeep.sys
%system%diversdllcachebeep.sys
添加注册表项:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun�rastk
HKCUSoftwareMicrosoftWindowsCurrentVersionRun�rastk
HKLMSystemCurrentControlSetControlSession ManagerPendingFileRenameOperations
释放并运行一个.bat,此.bat运行后,删除install1.exe及自身。
上述动作完成后,系统立即重启。如果没有工具监控其运行,用户就这么糊里糊涂的中招了。
这类改写%system%diversbeep.sys的病毒很流行。建议各位用主动防御看管好自己的%system%、%system%diversdllcache以及%system%drivers目录,不给这类病毒可乘之机。
手工查杀流程:
1、用组策略禁止上述病毒程序运行。
2、重启系统。
3、删除上述病毒文件及其注册表项。
4、自正常同类系统拷贝beep.sys到中毒电脑的%system%divers目录下。
附:此毒相关信息
病毒文件的大小及MD5值
原样本:
install1.exe(42.5K) 6412c769d7d5db534a6f9b3910a846a8
生成物:
brastk.exe(9.5K) 1d45317da5b26967905c8b8715b9c987
figaro.sys (27K) f8a6751cbc71a3eb44c5838f5735da13
beep.sys (27K) f8a6751cbc71a3eb44c5838f5735da13