该木马伪造酷狗的数字签名,加载服务自动运行,后台下载推广软件或其它木马,可能还有篡改IE主页行为。以下是能够找到的该木马文件及清除方案
1.删除以下文件
c:\windows\system32\svr.exe(也可能存在于c:\windows\SysWOW64\,文件公司名称是service.inc)
c:\windows\system32\svr.ini(似乎是检查下载激活时间间隔)
2.使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用(删除更好):
[Service / Service] <"C:\Windows\system32\svr.exe">
更多细节可以参考下载者病毒盗用酷狗数字签名的简单分析。不过既已暴光,危险性就降低了,但伪造数字签名对大多仅靠肉眼识别木马病毒者来说大大增加了辨认的困难。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1198.html
