webpnt木马相关介绍:
名称及文件:webprint.exe、webpnt.exe(文件相同名称不同)
金山未知、BD(bitdefender)未知
病毒类型;trojan.download.rootkit
危害级别;三级
病毒大小:22,528 字节
加壳方式:ASPack 2.12
编写语言:Microsoft Visual Basic 5.0 / 6.0
原创文章,转载请注明文章原作者;G-AVR[孤单每一天]
病毒指纹:
SHA-160 : E10EB67980E944D2F1749D71B6D31B6DAC51ECCD
MD5 : 2BA2CA5CA9892F7CDD4CA7ED2F8154C8
RIPEMD-160 : 2853528E504012F5F2C242F2C21B4DA456247C4B
CRC-32 : 13F91D84
测试平台:win2000ProSP4+WM
以上两个任意一个运行后病毒运行后拷贝自身到%systemroot%\%system32%\下面命名重命名为
webprint.exe、webpnt.exe,注册系统服务,开启隐藏进程(PS:任务管理器无法查看到。可以用SC或
IS查看),该进程直接由API开启,没有依赖任何父进程,隐藏进程开启后在后台打开一个IE浏览器疯狂
的下载木马程序和广告程序,目前还没有看到该程序下载病毒文件对计算机构成巨大的破坏,不过下载的木马之多实属罕见,当所有的木马运行后系统在启动中将会超级的慢,但是可以正常启动,该下载者一共下载80个木马和流氓文件
修复方法:
1、在任务管理器中结束webpnt.exe进程。
2、删除C:\WINDOWS\system32中的webpnt.exe和webprint.exe两个文件。
如果无法删除此文件请进入安全模式。
如果没找到,请打开“工具”→“文件夹选项”的“查看”
将其中的“隐藏受保护的操作系统”的勾去掉,再就是选中“显示所有文件和文件夹”后确定
3、依次打开“控制面板”→“管理工具”→“服务”
找到WebPrint右键停止。
关于webpnt病毒的详细介绍可以参看该文:
http://hi.baidu.com/renlangliu/blog/item/11495836179d65dca3cc2b10.html
