작업 관리자에 "wowexec"라는 프로세스가 있습니다. (wowexec 앞에 공백이 있다는 점에 유의하세요)

프로세스 파일: wowexec 또는 wowexec.exe

프로세스 이름: Microsoft Windows On Windows 실행 프로세스

제작자: Microsoft Corp.

소속: Microsoft Windows On Windows 실행 프로세스

시스템 프로세스: 예

백그라운드 프로그램: 아니요

네트워크 사용: 아니요

하드웨어 관련 항목: 아니요

일반적인 오류: 알 수 없음N/A

메모리 사용량: 알 수 없음N/A

보안 수준(0-5): 0

스파이웨어: 아니요

애드웨어: 아니요

바이러스: 아니요

트로이 목마: 아니요

예 이 프로세스는 다음과 같이 진행되었습니다. 스페이스, 바이러스인 것으로 의심됩니다

다음 정보를 참고하세요:

최신 QQ.Email 웜에 주의하세요

Anty CERT Team

One , 개요

바이러스 이름: Email-Worm.Win32.VB.ac

파일 크기: 13.279k

작성 언어: Microsoft Visual 기본

쉘 유형: UPX-Scrambler RC1.x ->

지난 이틀 동안 많은 QQ 사용자가 다른 사람으로부터 QQ 이메일을 자주 받았습니다. 트로이 목마에 걸리지 않도록 주의하세요.

웜은 텍스트 아이콘과 .txt.exe 확장자를 사용하여 자신을 위장하고 사용자가 웜 본문을 실행하도록 유도합니다.

2. 분석: (vvv는 연결이 차단됨)

1. 웜이 실행된 후 잘못된 파일 형식의 대화 상자가 나타나 사용자를 혼란스럽게 합니다. 자체 시스템 디렉터리 %system%으로 이동합니다:

C:\WINDOWS\system32\Inetdbs.exe 파일 속성은 다음과 같습니다: RHS

동시에 시스템에 자신을 추가합니다. 레지스트리 시작 프로젝트:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

키 이름: Inet DataBase 키 값: "C:\WINDOWS\System32\Inetdbs.exe "

2. 그러면 웜이 도착할 것입니다:]

받는 사람: 97986@qq.com

제목: 게임 화폐 도난 방지 전문가

Mime 버전: 1.0

콘텐츠 유형: 다중 부분/혼합;

boundary="=====line_63193098====="

이것은 MIME 형식의 여러 부분으로 구성된 메시지입니다.

--=====line_63193098=====

Content-Type: text/plain;

charset="GB2312"

콘텐츠 전송 인코딩: 7비트

첨부 파일

--=====line_63193098=== ==

콘텐츠 유형: application/octet-stream;

name="게임 화폐 도난 방지 전문가.zip"

콘텐츠 전송-인코딩 : base64

콘텐츠 처리 : attachment;

filename="게임 화폐 도난 방지 전문가.zip"

...

3. 해결 방법:

1, AGB4를 사용하여 삭제하세요.

2. 분석에 따라 해당 파일을 삭제하고 레지스트리 키 값을 복원하세요.