Created: 2010-01-20 04:48:12
此病毒即是普遍稱之為灰鴿子的遠端控制木馬的變種,灰鴿子本身是一個非常出色的遠端控制軟體,但被一些人加以惡意的利用後,變成了一個影響面很大的木馬。我們截獲的此病毒是和一張圖片檔案捆綁在一起,運行後圖片顯示,但是木馬會偷偷在program files下面建立一個r_server的資料夾,放入了alg.exe和WSDRPEVF.dat等病毒檔案,並設置檔案屬性為隱藏,並使資料夾選項的功能失效,即勾選顯示所有檔案後,並不能看到這些隱藏檔案。一旦木馬站住腳跟,那麼宿主系統的一舉一動都在此木馬的監控之下,用戶的私人訊息會悄無聲息的外洩,木馬還會連接遠端伺服器來發送截獲訊息等。
移除此病毒的方法:
用防毒軟體清除,下載ESET NOD32防毒軟體,並升級到最新的病毒資料庫後,全系統掃描計算機即可。
手動清除參考方法:
因為此病毒隱藏較深所以需進入安全模式刪除檔案。
1,首先開機按F8進入安全模式,然後刪除系統槽下program files資料夾內 r_server資料夾的所有檔案。
2,打開註冊表編輯器搜尋”ecurity Accounts user.”註冊表項,均可刪除處理。
3,修改以下註冊表鍵值:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent]
均將預設值9改為0即可。
4,徹底刪除系統暫存資料。
5,為系統更新必須的windows漏洞更新。
