分析原因:
病毒名称:蠕虫病毒Win32.Luder.I
其它名称:W32/Dref-U (Sophos), Win32/Luder.I!Worm, W32.Mixor.Q@mm (Symantec), W32/Nuwar@MM (McAfee), W32/Tibs.RA (F-Secure), Trojan-Downloader.Win32.Tibs.jy (Kaspersky)
病毒属性:蠕虫病毒
危害性:中等危害
流行程度:高
具体介绍:
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com)病毒特性:
Win32/Luder.I是一种通过邮件传播的蠕虫,并寄存在PE 文件和RAR 文件中进行传播。另外,它还会生成一个特洛伊,用来下载并运行其它的恶意程序。它是大小为17,559字节的Win32可运行程序。
感染方式:
运行时,Win32/Luder.I复制到%System%ppl.exe ,并设置文件属性为隐藏。随后,修改以下注册表键值,以确保在每次系统启动时运行这个副本:HKLMSoftwareMicrosoftWindowsCurrentVersionRunagent = %System%ppl.exe.。。HKCUSoftwareMicrosoftWindowsCurrentVersionRunagent = %System%ppl.exe.。。
注:‘%System%’是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
Luder还生成并运行一个任意名称的文件,检测出是Win32/Sinteri!downloader特洛伊病毒。蠕虫还生成kkk33ewrrt互斥体,以确保每次只有一个副本运行。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com)传播方式:
通过邮件传播蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址:HKCUSoftwareMicrosoftWABWAB4Wab File Name接着,搜索从 ‘Z:’ 到 ‘C:’ 驱动器上带有以下扩展名的文件:
rar
scr
exe
htm
txt
ht
a 蠕虫执行DNS MX (mail exchanger)查询,为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。
Luder.I尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点:
发件地址:
蠕虫使用任意名称(从蠕虫自带的一个列表中选择)带有一个任意数字,和接受目标的域名结合,生成一个伪造的收件地址,例如:Clarissa26@domain.com。
主题可能是:Happy New Year!
附件名称:postcard.exe
通过文件感染-PE文件Luder.I每次发现一个带有exe 或 scr 扩展名的文件,都使用《random name》.t文件名复制病毒到文件所在目录,并设置为隐藏文件。
注:《random name》由8个小写字母组成。例如:vrstmkgk.t。
Luder.I检查文件的PE头,来查看是否有足够的空间运行,并在中间插入一个代码。另外,它不会感染已经被感染的DLL或可执行文件。如果被运行,它首先运行相关的《random name》.t。Luder.I在被感染文件的PE头的timestamp中写入666作为一个标记,避免再次感染同一文件。
注:生成的《random name》.t文件即使不满足感染的所有条件,也不会被Luder.I修改。
通过文件感染-RAR文件
Luder.I添加《random filename》.exe到每个发现的RAR文档中,这里的《random filename》是7个字母与数字,例如dnoCV18.exe。每当Luder.I运行时,文档可能被多次感染。
危害:
下载并运行任意文件Luder.I生成一个文件用来下载其它恶意程序到被感染机器上。下载的文件包括Win32/Sinteri, Win32/Sinray, Win32/Sinhar 和Win32/Luder的其它变体。
终止进程
每隔4秒,如果注册表编辑器(regedit.exe)和名称中包含以下字符串的其它进程(显示在Windows Title Bar中)正在运行,Luder.I就会尝试终止注册表编辑器和这些进程:anti
viru
troja
avp
nav
rav
reged
nod32
spybot
www.Tulaoshi.comzonea
vsmon
avg
blackice
firewall
msconfig
lockdown
f-pro
hijack
taskmgr
mcafee
修改系统设置
Luder.I修改以下注册表键值,使得Windows Firewall/Internet Connection Sharing (ICS)(还称为Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS))服务失效:HKLMSYSTEMCurrentControlSetServicesSharedAccessStart = 4
清除:
KILL安全胄甲InoculateIT 23.73.102,Vet 30.3.3288版本可检测/清除此病毒。
kill版本:
修复错误的方法:
进入注册表查找下面键值改成4就可以修复internet共享的问题。Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess]Start=dword:00000004
不少朋友在windows7系统下启用网络共享访问时遇到了系统提示错误1061问题,这主要是有系统遭受病毒攻击所致,用户只有掌握了病毒的属性、危害,才能更进一步地扫清病毒,解决问题。
注:更多精彩教程请关注图老师电脑教程栏目,图老师电脑办公群:189034526欢迎你的加入
1、手动卸载
1)打开开始菜单中的控制面板,然后在控制面板中点击程序--浏览程序,然后选择Service Pack for Microsoft Windows (KB 976932),右击选择卸载即可。
2、通过命令卸载
1)首先打开开始菜单,在菜单中展开所有程序-附件-cmd,然后鼠标右击cmd选择以管理员身份运行选项;
2)接着在打开的命令提示符窗口中输入wusa.exe /uninstall /kb:976932,回车,然后按照提示完成卸载,这样就完成了。
3、GHOST和还原
相信有很多用户在安装完win7之后,都会使用ghost做一个备份,这时候就可以派上用场还原之前的系统了,如果没有做ghost 备份的话,也可以使用Win7下自带的系统还原功能,将系统还原到安装SP1 Beta之前,也是可以解决的。
tuLaoShi.com 注:更多精彩教程请关注图老师电脑教程栏目,图老师电脑办公群:189034526欢迎你的加入
有很多用户在使用硬盘安装Win7时都采用原来硬盘安装Win XP的方法在安装,其实硬盘安装Win7的方法已经改了,采用硬盘安装Win XP的方法现在也安装不了Win(m.tulaoshi.com)7,下面笔者给出详细的硬盘安装Win7的方法。
1、将WIN7的安装包解压出来,一般情况下,你下载的都是ISO格式的镜像,解压出来后会有下图这样的文件:
2、将这些文件复制到一个非系统盘的根目录下,系统盘大多数都是C盘,而根目录就是某个磁盘,比如F盘双击后进去的界面。(那个NT6的文件可以暂时忽略,下面会说来历的)
4、下面就需要一个软件NT6 HDD Installer来帮忙了,下载后放到之前存放win7安装文件的盘符的根目录,也就是和win7的安装文件放到一起
nt6 hdd installer2.86下载:http://www.xp510.com/soft/ossoft/System-Auxiliary/13595.html
5、运行,会出现下面的窗口,如果您现在的系统是XP可以选择1,如果是vista或者win7选择2,选择后按回车开始安装,1秒钟左右结束,之后就是重启系统了。
6、在启动过程中会出现如下界面,这时选择新出来的nt6 hdd Installer mode 1选项:
7、开始安装了
8、现在安装
9、接受许可条款:
10、最好选择自定义安装,选择第一个升级安装会变得非常缓慢。
11、选择右下角的驱动器选项(高级)如果想安装双系统,可以找一个不是之前系统的盘符安装,如果只想用Win7,就需要格式化之前的系统盘。之后就按照安装提示下一步操作就行了。
Win7的硬盘安装看起很容易,但真正注意的细节还是有很多的,还需要注意的是:直接解压ISO镜像出来,运行setup.exe安装,没有nt6 hdd installer2格式化选项,无法格式化C盘会装成两个系统。
据微软官网介绍,Office Mix是一款面向教育市场的Office全新在线服务,支持将传统PowerPoint幻灯片演示转化为互动式教学模式,支持在线远程教学等工具。总而言之,Office Mix是一款主打教育领域PPT互动式演示的全新方案产品。
简单的说,微软Office Mix预览版就是一款Powerpoint 2013 SP1扩展。
之前,内测用户必须等待微软Connect团队的Office Mix测试邀请,才能正常使用该功能。现在,我们可以直接在微软Connect频道在线申请,免费注册使用Office Mix功能服务。IT之家也为各位学生党用户整理相应的操作步骤,具体操作如下:
1、打开IE浏览器或者其他浏览器,访问微软Connect频道(点击这里访问),登陆自己的微软账户和密码;
2、这时,我们成功来到Office Mix预览版申请页面,继续注册现有的微软账户,点击右下角的提交;
3、这时,我们成功完成Office Mix预览版申请工作,继续转向Office Mix预览版;
4、这时,我们将获得Office Mix预览版所有的操作参数,其中包括大家最期待的邀请码,如下图加粗字体;
IT之家提醒下用户,使用Office Mix预览版服务时,我们必须提前安装Office2013 SP1办公套件中最新PPT组件,不支持Office2010等产品。
5、选择Getting Started中Office Mix官网链接,这时我们将导向Office Mix官网,继续登陆自己的微软账户和密码;
6、现在,我们可以凭码使用Office Mix服务了,具体内测评测可以参考Office Mix内测报告。
7、最后,下载安装微软Office Mix预览版安装程序;
8、安装后,我们打开Powerpoint 2013后,即可看到Office Mix选项。
注:更多精彩教程请关注图老师电脑教程栏目,图老师电脑群:189034526欢迎你的加入
系统调用失败故障图:
1、首先打开随意一款IE浏览器,然后在地址栏上面输入C:windowsexplorer.exe,然后回车即可解决。
2、如果还不行的话,就鼠标右击任务栏选择启动任务管理器,然后里面有一个360杀毒软件进程,点击结束它,然后结束explorer.exe资源管理器,接着再重复上面的第一个步骤即可。