歡迎鎖定資料救援中心公佈的最新消息,我們將不定期做更新.
-
軟體損壞資料救援
誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等... -
硬體損壞資料救援
電路板芯片燒壞,不認碟、碟體書寫錯誤等... -
伺服器資料救援
磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO -
筆電資料救援
東芝、日立、邁拓、三星、富士通、昆騰、筆記型等... -
RAID資料救援
對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援... -
硬碟資料救援
IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
AUTO病毒冒充系統文件 專門關閉卡巴斯基
【賽迪網-IT技術報道】Win32.Troj.AutoRunT.ad.15598是一個下載者病毒。它會查找並關閉安全軟體的提示窗口。如果用戶電腦中安裝有殺毒軟體卡巴斯基,病毒會修改系統日期,使卡巴失效。然後,它會下載病毒文件,並在系統上的每個硬碟下生成 autorun.inf 文件,擴散自己的傳播範圍。
病毒名稱(中文):AUTO病毒15598
威脅級別:★☆☆☆☆
病毒類型:木馬下載器病毒
長度:15598
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個下載者病毒。它會查找並關閉安全軟體的提示窗口。如果用戶電腦中安裝有殺毒軟體卡巴斯基,病毒會修改系統日期,使卡巴失效。
然後,它會下載病毒文件,並在系統上的每個硬碟下生成 autorun.inf 文件,擴散自己的傳播範圍。
這是一個下載者病毒,通過創建系統服務實現開機自啟動。從多個網址上下載病毒文件,並保存在系統上執行。
通過創建線程查找安全軟體的提示窗口,並模擬用戶鼠標操作,如發現卡巴文件則使用 cmd 的 date 命令修改系統日期。
在系統上的每個硬碟下生成 autorun.inf 文件,並指向病毒文件(把 systemroot/system32/Dser.exe 複製一份至硬碟根目錄下)。
病毒運行後釋放以下病毒文件:
%systemroot%/system32/Dser.exe (文件屬性為「隱藏」和「系統」)
判斷系統上是否存在 %systemroot%/system32/drivers/klif.sys 文件,如存在則使用 cmd 帶參數設置當前系統時間為 1981-01-12。
病毒釋放文件後在 system32 文件夾下創建批處理文件,並創建進程運行,刪除自身:
|
創建線程查找窗口標題名為「IE 執行保護」、「IE執行保護」、「瑞星卡卡上網安全助手-IE防漏牆」窗口。如發現,則獲取其窗口的「允許執行」按鈕的窗口位置,並向其發送鼠標消息(模擬鼠標按下)。
後台下載病毒作者指定的病毒網址,下載保存在系統上並執行:
|
下載後的病毒文件全部保存在 system32 文件夾下。在系統上的每個硬碟下創建 autorun.inf 文件,並把病毒文件複製一份至硬碟根目錄下。autorun.inf 文件指向病毒文件 Dser.exe。
病毒通過創建註冊表系統服務實現開機自啟動:
|
(
新北市資料救援|
基隆資料救援|
苗栗資料救援|
彰化資料救援|
雲林資料救援|
嘉義資料救援|
南投資料救援|
屏東資料救援|
宜蘭資料救援|
花蓮資料救援|
台東資料救援|
澎湖資料救援|
金門資料救援|
馬祖資料救援|
RAID資料救援|
NAS資料救援|
Micro SD,SD卡、CF卡、記憶卡資料救援|
日本データ復旧|
大阪データ復旧|
東京データ復旧|
京都データ復旧
【直營地點】
台北資料救援:115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援:300新竹市東區光復路二段156號
新竹科學園區資料救援:新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援:700台南市中西區北門路一段57號 TEL:06-505-0005
台北資料救援:115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援:300新竹市東區光復路二段156號
新竹科學園區資料救援:新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援:700台南市中西區北門路一段57號 TEL:06-505-0005
線上客服
@hd119