Riched32.dll木马是如何通过系统漏洞入侵的?
- 内容介绍
- 文章标签
- 相关推荐
本文共计455个文字,预计阅读时间需要2分钟。
# Riched32.dll问题分析
近期发现,Riched32.dll文件在电脑上失效,导致打开文档时出现异常。用户反映感觉文档内容有中毒迹象,打开通讯信时发现错误。
解决方案
今天尝试使用通讯信模拟炒股,发现程序提示目录下存在Riched32.dll,疑似为问题根源。
经调查,发现每个股票软件的底层都存在此文件,因此怀疑Riched32.dll并非问题所在。
盗号木马Riched32.dll木马 最近粘贴老是失效,感觉中毒了似的,打开通达信老是出错。今天打开通达信模拟炒股,提示目录下存在Riched32.dll,疑是木马。遂查之,发现每个股软下面都有这个文件。
怀疑是之前下载了一个更改版的股软,当时360报杀,但还是中招了。这是个盗号的木马,virscan.org上扫描:43%的杀软(17/39)报告发现病毒,金山2.1引擎查不出来。
搜索电脑上所有的Riched32.dll,系统目录下存在正常的Riched32.dll,但大小为4K(xp)~11K(win7)
其他目录下的,用一个空白文本txt文件,改名为Riched32.dll并覆盖,防止重新生成。
这是一个蠕虫病毒,会互相拷贝,只要存在一个,如果不小心运行,就会死灰复燃。特别注意的是,还会拷贝到压缩文件里。
重启,没发现有之前粘贴失效的问题,股软下也没有再生成Riched32.dll。
本文共计455个文字,预计阅读时间需要2分钟。
# Riched32.dll问题分析
近期发现,Riched32.dll文件在电脑上失效,导致打开文档时出现异常。用户反映感觉文档内容有中毒迹象,打开通讯信时发现错误。
解决方案
今天尝试使用通讯信模拟炒股,发现程序提示目录下存在Riched32.dll,疑似为问题根源。
经调查,发现每个股票软件的底层都存在此文件,因此怀疑Riched32.dll并非问题所在。
盗号木马Riched32.dll木马 最近粘贴老是失效,感觉中毒了似的,打开通达信老是出错。今天打开通达信模拟炒股,提示目录下存在Riched32.dll,疑是木马。遂查之,发现每个股软下面都有这个文件。
怀疑是之前下载了一个更改版的股软,当时360报杀,但还是中招了。这是个盗号的木马,virscan.org上扫描:43%的杀软(17/39)报告发现病毒,金山2.1引擎查不出来。
搜索电脑上所有的Riched32.dll,系统目录下存在正常的Riched32.dll,但大小为4K(xp)~11K(win7)
其他目录下的,用一个空白文本txt文件,改名为Riched32.dll并覆盖,防止重新生成。
这是一个蠕虫病毒,会互相拷贝,只要存在一个,如果不小心运行,就会死灰复燃。特别注意的是,还会拷贝到压缩文件里。
重启,没发现有之前粘贴失效的问题,股软下也没有再生成Riched32.dll。