打印本页〗〖打印选项
IGM 威力仅次于机器狗的病毒继机器狗之后狂卷网络
IGM 病毒特征:
进程文件:IGM 或 IGM.exe
进程位置:%windir%\
程序名称:Troj_dl.Win32.Delf.IGM
程序用途:通过IE下载其他病毒,感染文件.盗取QQ.游戏帐号密码 ==
传播方式:局域网 IE
进程分析:该病毒修改注册表创建Run/WinSysM=C:\WINDOWS\IGM.exe实现自启动,病毒可能在各盘符下会生成:auto.exe,autorun.inf。并可能将大量病毒模块*****MM.DLL注入进程SVCHOST.EXE开始大量下载木马病毒 木马病毒自相残杀后在临时文件夹下随机生成病毒名并运行。
igm.exe病毒中毒症状:
1.MSconfig的启动项及进程里发现IGM.EXE
2.还自动启动 保护
3.中毒的电脑 劫持路由,修改MAC,IP,并不停的向局域网机器发MAC欺骗包

生成相关文件
系统
%windir%\igm.exe
%windir%\system32\rsjzbpm.dll
%windir%\system32\racvsvc.exe
%windir%\system32\drivers\svchost.exe
%windir%\cmdbcs.exe
%windir%\dbghlp32.exe
%windir%\nvdispdrv.exe
%windir%\upxdnd.exe
%windir%\system32\cmdbcs.dll
%windir%\system32\dbghlp32.dll
%windir%\system32\upxdnd.dll
%windir%\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll
临时文件夹下\*.exe
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><%windir%\upxdnd.exe>  
    <WinSysM><%windir%\IGM.exe>  
    <NVDispDrv><%windir%\NVDispDrv.exe>  
    <DbgHlp32><%windir%\DbgHlp32.exe>  
    <cmdbcs><%windir%\cmdbcs.exe>  
    <KVP><%windir%\system32\drivers\svchost.exe> 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <RavRuneip><%windir%\system32\RacvSvc.EXE yfmtdiouaf.dll,HHanMa> 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rsjzbpm.dll> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><%windir%\system32\rsjzbpm.dll> 
解决办法:
把下面代码保存成批处理通过欲留通道加载!

md %windir%\IGM.exe
md %Temp%\QQSC.exe
md %Temp%\close.exe
md %Temp%\tomons.exe
ATTRIB +R +H +S %windir%\IGM.exe
ATTRIB +R +H +S %Temp%\QQSC.exe
ATTRIB +R +H +S %Temp%\close.exe
ATTRIB +R +H +S %Temp%\tomons.exe
echo y| CACLS %windir%\IGM.exe /c /p everyone:n
echo y| CACLS %Temp%\QQSC.exe /c /p everyone:n
echo y| CACLS %Temp%\close.exe /c /p everyone:n
echo y| CACLS %Temp%\tomons.exe /c /p everyone:n
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d debugfile.exe /f

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Image File Execution Options\QQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f


文章作者:未知