VBS.Runauto脚本病毒分析篇
最近一位同事的笔记本遭遇了这个病毒,正好这学期在给计算机专业的同学们上VBscript于是顺便分析了一下。 首先从染病毒的计算机上提取下来病毒样本,由于是临时发现的,也没有特别准备,就用winrar压缩后保存。 在实验机器上打开病毒样本的压缩文件,我的Symantec 11立即报警,并把病毒删除了。
最近一位同事的笔记本遭遇了这个病毒,正好这学期在给计算机专业的同学们上VBscript于是顺便分析了一下。 首先从染病毒的计算机上提取下来病毒样本,由于是临时发现的,也没有特别准备,就用winrar压缩后保存。 在实验机器上打开病毒样本的压缩文件,我的Symantec 11立即报警,并把病毒删除了。
例如 .. con nul 等等 两行代码搞定,迅速删除使用非法文件名的文件及文件夹2007年06月04日 星期一 19:08 实现代码如下:DEL /F /A /Q \\?\%1RD /S /Q \\?\%1 保存为 .bat 或者 .cmd 文件即可。 以后遇到什么 runauto..,com1
今天逛WZ,看到这个,比较有意思的是那两个久违的DOS批处理命令. 今天通过远程连接帮一个不太懂电脑的朋友清病毒。看到一堆runauto..目录,再看进程中有c:\windows\dllhost.exe,确定是灰鸽子07. 查到的手动清除方法很多要求安装iceswords或者到安全模式。但远程控制下