圖片文件竟是病毒冒充 垃圾數(shù)據(jù)湊大小

病毒無處不在，最近許多網(wǎng)友反饋msdrvload.jpg報(bào)告為病毒，手動(dòng)刪除這個(gè)文件后重啟計(jì)算機(jī)它還會(huì)出現(xiàn)，就算用文件粉碎器刪除也無濟(jì)于事，這個(gè)jpg文件竟然有79MB大小。

安全工程師聯(lián)系了幾個(gè)用戶，遠(yuǎn)程連接發(fā)現(xiàn)注冊(cè)表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager項(xiàng)里，PendingFileRenameOperations的值異常。

繼續(xù)跟蹤發(fā)現(xiàn)是通過pengding重啟替換\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv，然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再啟動(dòng)那個(gè)msdrvload.jpg擴(kuò)展名的文件，這個(gè)jpg當(dāng)然不是圖片，只是偽裝成圖片的可執(zhí)行程序，真正的執(zhí)行文件只是很小一部分，末尾填充了大量的垃圾數(shù)據(jù)，湊到79MB大小。

msdrvload.jpg的絕對(duì)路徑是c:\windows\help\mui\msdrvload.jpg。

使用procexp終止C:\WINDOWS\wdmaud.drv模塊，再刪除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg，重啟計(jì)算機(jī)后，問題解決。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]