您的位置: 首页  >> 最新病毒 >> 阅读资讯：恶意软件diannaoqingjieji清理脚本

恶意软件diannaoqingjieji清理脚本

[ 作者：papa | 更新日期:2008-2-9 10:08:44 | 阅读次数： ]

恶意软件diannaoqingjieji清理脚本

之前本人在《赶走以防止FBI调查为名的“安全软件”》一文中写过恶意软件diannaoqingjieji的现象描述，主要是为了解释节日期间此类恶意软件的网络钓鱼特征与识别方法。文中提供了反复提示下载该软件的处理方法，详情如下：
/zuixinbingdu/2008/0206/2439.html

但是一些网友可能误以为那个方法可以处理已经安装上该软件的电脑。

本文附件会提供对已安装上该软件的用户的清理脚本，并对已安装的电脑现象做出描述。

安装上该恶意程序后的扫描过程相对来说还是比较快的，但是笔者认为几乎全是乱报！如图所示笔者并没有安装网景浏览器：

扫描结束后会提示多出隐私威胁风险。如图所示：

如果用户选择修复的话，会让你在网上为其付款。如图所示：

该软件随机启动打开后便告知用户自己有多么危险。如图所示：

将自身添加到回收站的关联中并自诩为“安全清除”。如图所示：

用户点击“安全清除”后会发现该软件界面再度出现，并让你觉得自己很不安全。

该恶意软件注入位置的简单分析：

常规启动项目：
[[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<DiannaoQingjieji><C:\Program Files\DiannaoQingjieji\GDC.exe>
<ugdccw><"C:\PROGRA~1\DIANNA~1\UGDCcw.exe" -start>
<Salestart><"C:\Program Files\Common Files\DiannaoQingjieji\mc.exe" dm=http://diannaoqingjieji.com
ad=http://diannaoqingjieji.com sd=http://aidame.diannaoqingjieji.com>

explorer加载项目：
[HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\secure_del]
[HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\secure_del]
[HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\secure_del]
[HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\secure_del]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] <{B33DE756-DEEE-4D7A-87DB-1D905BA2AA21}>

浏览器加载项目：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FBFD0ABF-A31F-4165-B574-
4CF6CD946C7D}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5F1910-F110-11D2-BB9E-00C04F795683}]

回收站修改项目：
[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\安全清除]

该恶意软件在毒霸08到用户主机上面安装的时候会提示写入失败并有病毒清除提示，如图所示：