病毒執(zhí)行后會在Program Files文件夾下創(chuàng)建名稱為%program Files%的文件夾��,同時釋放以下文件�。
1.Cest.bat用來啟動病毒程序1026。
2.Dest.bat用來創(chuàng)建服務�,達到隨計算機啟動而自動運行的目的���。
3.1024和1026為同一個文件,該文件其實是動態(tài)庫文件����,由于病毒將其擴展名改成”.URL”,所以其圖標和網(wǎng)頁快捷方式相同��。并且在默認情況下���,系統(tǒng)會將此擴展名隱藏�,即使關閉文件夾選項中的“隱藏已知文件類型的擴展名”�����,擴展名也無法顯示�。很容易使用戶認為該文件為網(wǎng)頁快捷方式,不存在威脅���。
4.Laass.exe為可執(zhí)行文件�,用來加載名稱為1026的動態(tài)庫文件��。
病毒執(zhí)行后����,會檢測并結束多種殺軟進程�,使用戶機器變成傀儡機器�����,從而達到盜取網(wǎng)絡游戲賬號和密碼的目的�����。據(jù)AVG中國實驗室數(shù)據(jù)顯示�,目前擁有很多玩家的D*F、天下*等熱門網(wǎng)游��,均成為被攻擊對象�����。
如果用戶不小心中毒�,可以采取以下步驟。
1.在任務管理器中結束名稱為laass.exe的進程;
2.刪除名稱為WinAudio的服務項;
3.刪除“Program Files\%Program Files%”文件夾和該文件夾下的所有文件;
4.重啟計算機即可完全刪除該病毒;
為了避免輕易中毒��,AVG建議廣大用戶:
1.在查看圖片文件時�,請確定其擴展名稱是jpg�����、BMP等情況下,再雙擊查看;
2.即使其擴展名稱是jpg�、BMP,但是對于未知的文件進行病毒掃描也是必要的����。
