urdvxc.exe 是什么
这是个什么程序???有危险吗?
参考答案:这个是病毒!!具体参考以下内容:
档案编号:CISRT2007016
病毒名称:Net-Worm.Win32.Allaple.b(Kaspersky)
病毒别名:Win32.Troj.Henkan.a.57856(毒霸)
Worm.Mail.Allaple.b(瑞星)
病毒大小:57,856 字节
加壳方式:N/A
样本MD5:N/A(变形病毒)
样本SHA1:N/A(变形病毒)
发现时间:2006.12
更新时间:2006.12
关联病毒:
传播方式:可通过弱密码的共享网络,系统漏洞等途径传播
技术分析
==========
这是一个自变形蠕虫病毒,在被感染系统中生成若干病毒副本,可通过系统弱口令系统漏洞等途径传播,发送DoS攻击。
蠕虫感染系统后在系统目录生成文件:
%System%\urdvxc.exe
创建以下服务:
QUOTE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
显示名:Network Windows Service
描述:Network Windows service management
可执行文件的路径:"%System%\urdvxc.exe" /service
失败时执行命令:%System%\urdvxc.exe
此服务第一次启动失败时会尝试重新启动服务,第二次启动失败时则运行%System%\urdvxc.exe。
病毒会向系统部分目录(含有htm/html文件的目录)生成自身的若干新副本,文件名随机,如:
bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
由于病毒自我变形,虽然文件大小都是57856字节,但每个副本都不一样。
病毒给每一个副本都注册不同的CLSID,如:
[HKEY_CLASSES_ROOT\CLSID\{8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE}\InprocServer32]
@="bzehxvnz.exe"
修改目录中的htm/html文件,在<html>标签后插入类似如下代码:
<OBJECT type="application/x-oleobject"CLASSID="CLSID:8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE"></OBJECT>
每个htm/html页面中的CLSID不同,分别对应病毒副本的CLSID,即当用户打开该htm/html文件时,对应CLSID的病毒副本将被运行。
此外,病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机,还能发起DoS攻击。
清除步骤
==========
1. 删除病毒服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
2. 重新启动计算机
3. 删除文件:
%System%\urdvxc.exe
4. 全盘搜索大小约58K左右的文件名随机的exe文件,删除它们
5. 注册表中病毒添加的CLSID和htm/html页面中被添加的代码清除起来有些困难,经过测试发现Kaspersky(卡巴斯基)可以清除htm/html页面中病毒插入的<object>代码