病毒注入系统进程
病毒注入系统的其他进程后
1> 创建一个线程来保护其添加的注册表键值不被删除
2> 结束杀毒软件进程
3> 通过将ZwCreateFile的前两个字节填0加以破坏
4> 并试图删除以下文件,(主要是杀毒软件和流氓软件清除工具的驱动、程序文件)
"mmskskin.dll"
"KKClean.dll"
"VirUnk.def"
"AntiActi.dll"
"Rsaupd.exe"
"Iereset.dll"
"Libclsid.dat"
"KNetWch.SYS"
"CleanHis.dll"
"WoptiClean.sys"
"kakalib.def"
"libdll.dat"
"kkinst.ini"
"KASearch.DLL"
"KAVBootC.sys"
"Ras.exe"
"iehelp.exe"
"trojandetector.exe"
"KAConfig.DLL"
"KAVPassp.DLL"
"hsfw.dll"
**修改hosts文件为**
hosts文件被修改后,会影响很多杀毒软件和反流氓软件的升级,影响访问相关网站
(注意一下61.152.244.167这个IP,下面发现众多流量很高的站点被劫持到61.152.244.167,可以尝试一下在IE地址栏中输入这个IP,你发现去了cn.yahoo.com)
难道这个病毒在替yahoo做流量?我是不相信的,马云成功在望,不会采取这种流氓手段劫持其它网站的流量,我怀疑是栽赃。或者,中国yahoo的网盟政策被利用了。
(此处隐去一些IP和网站)
网友评论