软件下载 | 资讯教程 | 最近更新 | 下载排行 | 一键转帖 | 发布投稿
您的位置:最火下载站 > 资讯阅读 > 安全资讯 > 马吉斯(Worm.Magistr)病毒查杀手记

马吉斯(Worm.Magistr)病毒查杀手记

烈火建站学院文档 那天自动打开了一个网页,SSM弹出了很多提示C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP下的***.cab三位数字的文件执行和QQ_UPDATE.CAB、WMSETUP.DLL,有几十个吧,来不了全部拒绝反应没过来就死机了。重启后电脑超慢的。现在才知道感染了马吉斯病毒了,感染所有EXE和SCR的可执行文件,并生成驱动型木马。

症状:1.在C:\windows\ 下生成一个 linkinfo.dll、MKMKRNL.DLL、UPDATE.DLL。可以删除掉。但非常容易复活。
2.生成C:\WINDOWS\DOWNLOADED PROGRAM FILES \THUNDERADVISE.DLL。
3.在C:\WINDOWS\SYSTEM32自动生成很多八位十六进制的DLL文件与CFG文件,可能因为这个给叫为伪迅雷病毒吧。
4.同时在C:\Documents and Settings\用户名\Local Settings\temp 产生二三十个GIF格式文件,典型的木马下载器,下载一系列GIF文件带木马。5.WINDOWS\AppPatch下有几个无厂商的文件,而且建立的时间应该和你发现LINKINFO的时间相接近,有两个DLL文件AcLayer.dll、AcSpecf.dll(正常的是AcLayers.dll和AcSpecfc.dll)和一个Appfix 软件包AcSpecf.sdb。
6.在C:\Windows\system32\DRIVERS里面还可能有eth8023.sys和cdralw.sys,或者你的杀毒软件会报毒:cdralw.sys感染。
7.感染的exe文件都会加载这个驱动文件C:\Windows\system32\drivers\IsDrv120.sys(加载后删除)。

该病毒主要通过局域网传播,也可通过木马下载代码从有毒网页上下载运行。
中了该病毒的机器即使清除了病毒,因*.exe文件受损严重,系统可能不能正常运行。

解决方案:

用windows清理助手、360安全卫士等扫描清除,再下载瑞星Magistr专杀工具清理感染的文件。
特别注意:下载时,一定要先保存,并且改名,比如改为MagistrKiller.dll

“马吉斯(Worm.Magistr)”病毒专杀工具下载地址:http://download.rising.com.cn/zsgj/MagistrKiller.exe

以下摘 瑞星反病毒资讯网
http://dl.rising.com.cn/DownLoadInfo/2008-04-26/1209209418d46484.shtml
软件说明:

病毒名称: Worm.Magistr.g

病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。

病毒源文件为boot.exe,由用户从U盘上提取。

病毒源文件流程:

boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。

检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。

装载该dll,然后查找病毒调用序号为101的导出函数。

相关阅读
栏目导航
推荐软件