不怕系统崩溃就别看：揪出仿冒360病毒

伪装360修复工具的病毒的“恶行”

　　近日截获一款伪装360修复工具的病毒，该病毒会释放tmp格式的随机文件名驱动。该驱动会导致大量安全软件运行时提示不是有效win32应用程序。

图1

图2

　　常用的安全软件例如：360安全卫士、冰刃、Autoruns、gmer、RootkitUnhooker等。

　　创建多个特权进程访问网络：

图3 创建进程

　　弹情色网页后台下载各类病毒：

图4 删除病毒

　　在启动目录下释放启动项baidu.lnk:

图5 属性

处理伪装360修复工具的病毒的方法

　　Windows目录存放自身文件：

图6 存放文件

　　写入仿冒360安全卫士与卡巴斯基的版本信息：

图7 仿冒信息

　　处理方法：

图8 删除

　　由于病毒驱动目前未设置随机启动，启动靠启动文件夹下的启动项启动并释放随机驱动文件。故删除启动文件夹下的baidu.lik文件即可。