Adware.Winsdup.d

Adware.Winsdup.d病毒资料和病毒分析：

知识库编号： RSV0707697

内容分类： 木马病毒

适用产品分类：瑞星杀毒软件.单机版.标准版.2007

瑞星杀毒软件.单机版.升级版.2007

瑞星杀毒软件.单机版.下载版.2007

关键词： Adware.Winsdup.d;清除

本文提供Adware.Winsdup.d病毒资料以及清除方法。

该病毒使用VC6编写，属于广告类病毒，该病毒具有以下行为：

1、生成文件:

病毒运行后建立路径"%ProgramFiles%\\winp",并在此路径释放如下文件：

code.dll；lexi.lex；play.dll；snet.dll；stdi.ini；stdl.ini；stub.dll；upiilex.ini；upme.ini；vote.dll

2、新建注册表信息：

HKLM\\System\\CurrentControlSet\\Services\\svcs = 新建子键

HKLM\\System\\CurrentControlSet\\Services\\svcs\\Type = 0x110

HKLM\\System\\CurrentControlSet\\Services\\svcs\\Start = 0x2

HKLM\\System\\CurrentControlSet\\Services\\svcs\\ErrorControl = 0x1

HKLM\\System\\CurrentControlSet\\Services\\svcs\\ImagePath = "%SystemRoot%\\System32\\svchost.exe -k netsvcs"

HKLM\\System\\CurrentControlSet\\Services\\svcs\\DisplayName = "Windows svcs RunThem"

HKLM\\System\\CurrentControlSet\\Services\\svcs\\Security = 新建子键

HKLM\\System\\CurrentControlSet\\Services\\svcs\\Security\\Security = 01 00 14 80 A0 00 00 00 ...

HKLM\\System\\CurrentControlSet\\Services\\svcs\\ObjectName = "LocalSystem"

HKLM\\SYSTEM\\CurrentControlSet\\Services\\svcs\\Parameters = 新建子键

HKLM\\SYSTEM\\CurrentControlSet\\Services\\svcs\\Parameters\\ServiceDll = "C:\\PROGRA~1\\winp\\snet.dll"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ = 新建子键

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\\\DisplayName = "Windows svcs UnInstall"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\\\UninstallString = "C:\\WINNT\\System32\\rundll32.exe C:\\PROGRA~1\\winp\\snet.dll,Service -u"

3、病毒尝试连接如下网址，并下载文件

update.borlander.cn

http://update.borlander.cn/upstdad5/updstdii.ini

http://update.borlander.cn/upstdad5/updstdix.ini

http://update.borlander.cn/upstdad5/updadini.ini

http://update.borlander.cn/upstdad5/updadlex.ini

www.borlander.com.cn

http://www.borlander.com.cn/jsp/gi.jsp?t=%d

4、病毒根据下载的文件中的信息，弹出IE显示指定的广告网页或进行点击

Adware.Winsdup.d病毒的查杀清除方法：

1、将瑞星卡卡上网安全助手升级到最新版本，进行恶意及流氓软件清理。

2、将瑞星杀毒软件升级到最新版本，全盘查杀。