dansl.sys ，dll2.tmp 查杀-网络安全专区

dansl.sys ，dll2.tmp 查杀

作者：妖界之箭编辑：杨京京 2009-08-20 20:07 来源：IT168�

病毒创建文件：

    %SystemDriver%\dap.dll
    %SystemRoot%\Fonts\lsnvvs.vbs
    %SystemRoot%\system32\drivers\asyncmac.sys
    %TEMP%\dll2.tmp
    %SystemRoot%\fonts\safeg.sys
    %SystemRoot%\Fonts\safeme.sys
    %SystemRoot%\Fonts\dansl.sys
    X:\RFR.PIF
    X:\AutoRun.INF (X为任意盘符)

病毒修改文件：

%SystemRoot%\system32\linkinfo.dll

    病毒删除文件：
　　
    %SystemDriver%\dap.dll
    %SystemRoot%\Fonts\lsnvvs.vbs
    %SystemRoot%\system32\drivers\asyncmac.sys
    %SystemRoot%\fonts\safeg.sys
    %SystemRoot%\Fonts\safeme.sys
    %SystemRoot%\Fonts\dansl.sys

    病毒创建注册表：
　　
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\safeg
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\safeme
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dansl

病毒删除注册表：

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[安全软件]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\safeg
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\safeme
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dansl

病毒访问网络：

    http://aml.**.ma/dd.txt
    http://www.mk***ss.com/w/get.exe
    http://www.mk***ss.com/w/3.exe
    http://www.mk***ss.com/w/7.exe
    http://www.mk***ss.com/w/dn.exe
    http://www.mk***ss.com/w/12.exe
    http://www.mk***ss.com/w/9.exe
    http://www.mk***ss.com/w/ap.exe
    http://www.mk***ss.com/w/b.css

第1页：病毒行为分析第2页：病毒创建文件

关注我们