盗版CAD2007自动下载病毒
通过数据报拦截分析得知,目前流行的盗版CAD2007在软件启动时,通过软件不明控件首先下载
http://dw1.azm8.com/ctacd.rar
再下载
http://jx.kkwyx.com/vct/vel15.rar
http://jx.kkwyx.com/vct/vel16.rar
http://jx.kkwyx.com/vct/vel17.rar
http://jx.kkwyx.com/vct/vel18.rar
http://jx.kkwyx.com/vct/vel19.rar
http://jx.kkwyx.com/vct/vel20.rar
http://jx.kkwyx.com/vct/vel21.rar
http://jx.kkwyx.com/vct/udw.rar
http://jx.kkwyx.com/vct/bk2.rar
http://jx.kkwyx.com/vct/set.rar
完成上述的下载后会释放文件
C:\windows\system32\fsutk.dll
C:\windows\system32\liprip.dll
C:\windows\kentgo.log
C:\windows\help\fkhfu.chi
C:\windows\inf\iplbk.inf
卡巴斯基最新病毒库不能查杀彻底、360安全卫士也不能彻底清除,进入DOS删除以上文件
开机之后再次感染,应该还后其他程序.
中毒之后卡巴斯基几乎所有的监控都被关闭,发现病毒却不能彻底查杀,导致电脑反复重启。
其中相关的网站为
-------------------------------------------------------------------------
www.kkwyx.com >> 202.105.31.90
www.azm8.com >> 202.105.31.90
他们的服务器是
广东省佛山市电信(顺德区)
-------------------------------------------------------------
病毒十分猖獗,恳请各个杀毒软件的技术人员通过技术手段或者法律手段捣毁这个恶意服务器。
(以上RAR文件经测试为可执行文件更改的扩展名?!)
以上数据为2008年5月9日截获数据,修改host方式禁止访问该网站好像没有效果,网关拦截也不是很明显
卡巴斯基能检测到不能查杀,安全模式杀毒也是失败
------------------------------------
感谢x2yangling兄弟的回答,你说的方法我已经尝试过了,最近新安装的CAD电脑中可能出现了新的恶意插件好像还调用support文件夹中的另外一个文件,该文件中的代码包括各个搜索引擎的相关代码,不知道什么意思,现在最新的恶意插件已经会自动替换以前的恶意插件~变得很难查杀
最佳答案的位子先留着,看看有没有更好的解决办法,现在公司的5台电脑已经OVER了.
参考资料:以前的哥们教的