[watermark]原创:警惕后门Rbot病毒
Backdoor.Win32.Rbot.gen病毒运行后,释放病毒文件到系统目录下。添加注册表启动项,以达到开机加载病毒体的目的。该病毒通过系统漏洞传播,当系统重启后运行病毒体,连接特定的IRC服务器,按病毒管理员指令,行合各种恶性功能。并记录受控端信息。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
lserv.exe
(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\Microsoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Microsoft Office
键值: 字符串: "lserv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunService\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices\Microsoft Office
键值: 字符串: "lserv.exe"
相关参考链接:http://www.antiy.com/security/report/20060918.htm [/watermark] |
