Windows 7 64 位系统下载

Win7:免费下载,安装简单,硬件兼容,极速安全

如果您电脑是预安装的 Win10 系统,为避免兼容性问题,建议选择 Win10

视频教程:下载的系统如何安装

Windows 10 64 位系统下载

Win10:界面简洁,经典易用,运行流畅,自动安装

如果您电脑遇到死机卡顿各种问题,下载安装即可解决!

视频教程:下载的系统如何安装

当前位置:首页 > Win7资讯 > 其他资讯

一病毒成功突破Windows7 7264的UAC

其他资讯2014-08-28 16:02:38

作者:之家技术ZGCC


今天上网,下载一个什么小程序忘了,本来想到安装了Windows7 7264, UAC也没关(按默认设置),也不是Administrator用户,NOD32也是最新病毒库,应该没事,有病毒也应该安全。。。于是下载下来的EXE随手双击。。。没反应呢。。。再双击,也没反应,于是引起我的怀疑。。。用NOD32扫描系统,找到C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE是可疑文件,因为我刚装7264系统,并没有安装OFFICE,哈哈,一眼就看出来这是个病毒!!顺便查了一下注册表,乖乖,这个文件是一个服务。。。
很奇怪的是运行这个程序时NOD32和UAC均没有报警!!!
于是我大胆断言:此病毒可以突破WINDOWS7 7264 的UAC(用户帐户控制)!
当然我是直接双击,非“以管理员身份运行”,而当前用户也非Administrator(禁用了Administrator用户)。
本来想上网找找这个病毒的资料,但百度也打不开,各个安全网站杀毒网站也被屏蔽了,郁闷。。。
于是,只有手工研究了大约半小时终于搞清楚了:
这个病毒可以以普通用户进行安装!! 此病毒自动安装到:
C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE  (属性:隐藏系统只读)
它可以突破UAC,自动创建服务:MSSQL
修改hosts文件,把杀毒和安全网站的连接全部指向: 127.0.0.1
常用连接(如 百度)全部指向 205.209.148.243  即 www.yl177.com.cn

 

病毒样本(切记不要双击运行哈,专业人士除外!!): http://www.kkzj.com/
解压缩密码:111

 

附上手工清除办法:
1、首先进入services.msc 找到MSSQL服务,禁用。
2、管理员身份打开“命令提示符”运行:sc delete mssql   (这样服务就删除了)
3、手工删除文件 C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE  (是隐藏只读文件,需要打开文件夹选项先,如果删不掉,就重启电脑再删除)
4、手工修改回hosts文件(也可以从正常的电脑上拷贝过来覆盖之),该文件位于:c:\windows\system32\drivers\etc\ (管理身份运行的"记事本"就可以修改它)
5、重启电脑,再次从1-4步骤检查一遍,OK!

happy 有用 53 sad
分享 share
标签:
一病毒成功突破Windows7 7264的UACwind
关注微信 关注公众号 立即获取
Win7/8/10通用密钥
以及Office资源