典型木马群病毒Trojan.PSW.Win32.Mapdimp.a详细分析与查杀

最近木马群病毒为害不浅，让一些个人电脑用户束手无策，自己的电脑成了病毒的乐园，我们来看一个典型的木马群病毒的详细分析，后面介绍了具体的查杀方法。

病毒分析：

    病毒采用Delphi编写，upack0.39加壳。

病毒运行后有以下行为：

    1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。

    我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒) 图1 

（图1）

    2.病毒还会修改注册表信息达到开机被自动加载的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件

    开始-运行-输入regedit 打开注册表编辑器展开：
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    然后在下面查找有无{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
    如果有展开该子键，此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll  图2

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点