病毒具体分析

File:SFF.exe

Size:36864bytes

FileVersion:2.00.0003

MD5:248C496DAFC1CC85207D9ADE77327F8B

SHA1:B32191D44382ED926716671398809F88DE9A9992

CRC32:8C51AAAB

编写语言：MicrosoftVisualBasic5.0/6.0

病毒生成如下文件

%system32%svchost.com

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面添加

添加键值svchost指向%system32%svchost.com

以达到开机启动的目的

各个分区根目录下面生成SFF.exe和autorun.inf

以达到通过U盘等移动存储传播的目的

不断向剪贴板里面写入

“中国网络游戏木马外挂黑客技术大全http://www.hack1314.com咨询QQ：39722181”的信息(如下图)

病毒具体分析

File:SFF.exe

Size:36864bytes

FileVersion:2.00.0003

MD5:248C496DAFC1CC85207D9ADE77327F8B

SHA1:B32191D44382ED926716671398809F88DE9A9992

CRC32:8C51AAAB

编写语言：MicrosoftVisualBasic5.0/6.0

病毒生成如下文件

%system32%svchost.com

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面添加

添加键值svchost指向%system32%svchost.com

以达到开机启动的目的

各个分区根目录下面生成SFF.exe和autorun.inf

以达到通过U盘等移动存储传播的目的

不断向剪贴板里面写入

“中国网络游戏木马外挂黑客技术大全http://www.hack1314.com咨询QQ：39722181”的信息(如下图)

病毒体内有字样“P~,.傻*中..一个痛恨中加的愤青之作”

病毒手动清除办法：

启动计算机进入安全模式

(开机后不断按F8键然后出来一个高级菜单选择第一项安全模式进入系统)

打开sreng

启动项目注册表删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[NOBODY]

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是”然后确定，点击菜单栏下方的文件夹按钮（搜索右边的按钮），右键点击C盘盘符（系统盘）单击“打开”打开C盘（系统盘）如下图：

删除如下文件

%system32%svchost.com

SFF.exe

autorun.inf

右键点击其他盘盘符单击“打开”打开其他盘

删除其他盘根目录下的

SFF.exe和

autorun.inf