Recientemente, cuando un amigo comenzó a compartir la red en el sistema windows7, el acceso compartido no podía habilitarse normalmente. El sistema muestra el error 1061, es decir, el servicio no puede aceptar información de control en este momento. ¿Qué está pasando? ¿Qué debo hacer? En realidad, esto sucede. El motivo principal del problema se debe al peligro del gusano en el sistema. Para obtener más información, consulte la siguiente introducción.
Razones analíticas:
Nombre viral: gusano Win32.Luder.I
Otros nombres: W32 /Dref-U (Sophos), Win32 /Luder.I! Worm, W32.Mixor.Q @mm (Symantec), W32 /Nuwar @ MM (McAfee), W32 /Tibs.RA (F-Secure), Trojan-Downloader.Win32.Tibs.jy (Kaspersky)
Atributos de virus: gusano
Peligro Sexo: Medio Peligro
Popularidad: Alta
Introducción específica:
Características del virus:
Win32 /Luder.I es un gusano que se propaga por correo y se almacena en archivos PE y archivos RAR. Difundir Además, también genera un troyano para descargar y ejecutar otros programas maliciosos. Es un ejecutable de Win32 que tiene un tamaño de 17.559 bytes.
Modo de infección:
Al ejecutar, copie Win32 /Luder.I a% System% ppl.exe y establezca la propiedad del archivo en oculta. Luego, modifique la siguiente clave de registro para asegurarse de que esta copia se ejecute cada vez que se inicie el sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRunagent = "% System% ppl.exe. . quo; HKCUSoftwareMicrosoftWindowsCurrentVersionRunagent = "% System% ppl.exe. . "
Nota: ‘% System% ’ es una ruta mutable. El virus determina la ubicación de la carpeta actual del sistema consultando el sistema operativo. La ruta de instalación predeterminada del sistema para Windows 2000 y NT es C: WinntSystem32; 95,98 y ME son C: WindowsSystem; XP es C: WindowsSystem32.
Luder también genera y ejecuta un archivo con un nombre arbitrario y detecta el troyano de descarga Win32 /Sinteri! El gusano también genera " kkk33ewrrt " mutexes para garantizar que solo una copia se ejecute a la vez.
Método de comunicación:
El gusano envía correo a través del sistema de correo para enviar el virus desde el sistema local. Busca la dirección de correo electrónico en la Libreta de direcciones de Windows a través de la siguiente clave de registro: HKCUSoftwareMicrosoftWABWAB4Wab Nombre del archivo A continuación, busque el archivo con la siguiente extensión de ‘ Z: ’ to ‘ C: ’ drive:
rare
gus
exe
htm
txt
ht
a El gusano realiza una consulta DNS MX (intercambiador de correo) para encontrar un servidor de correo adecuado para cada dominio para enviar virus. Utiliza un servidor DNS predeterminado configurado localmente para realizar estas consultas.
Luder. Intento enviar un correo electrónico a cada dirección de correo electrónico que recopila. El gusano envía un mensaje con las siguientes características:
Dirección de envío:
El gusano usa un nombre arbitrario (seleccionado de una lista que viene con el gusano) con un número arbitrario, combinado con el nombre de dominio del objetivo, para generar una falsificación La dirección del destinatario, por ejemplo:
[email protected]. Los temas pueden ser: ¡Feliz año nuevo!
Nombre del accesorio: postcard.exe
Infectado por el archivo de archivo PE Luder. Encontré uno con "extensión" o "scr" Archivos, use el nombre de archivo "nombre aleatorio" .t para copiar el virus en el directorio donde se encuentra el archivo, y configúrelo como un archivo oculto.
Nota: "nombre aleatorio" consiste en 8 letras minúsculas. Por ejemplo: " vrstmkgk.t ".
Luder.I Verifique el encabezado PE del archivo para ver si hay suficiente espacio para ejecutar e inserte un código en el medio. Además, no infecta archivos DLL o ejecutables infectados. Si se ejecuta, primero ejecuta el "nombre aleatorio" relevante .t. Luder.I escribe 666 como un indicador en la marca de tiempo del encabezado PE del archivo infectado para evitar volver a infectar el mismo archivo.
Nota: El archivo .t generado con "nombre aleatorio" no será modificado por Luder.I incluso si no cumple con todas las condiciones de la infección.
Infectación a través de archivos: archivos RAR
Luder. Agrego el "nombre de archivo aleatorio" .exe a cada documento RAR descubierto, donde el "nombre de archivo aleatorio" tiene 7 letras y números, por ejemplo "dnoCV18.exe"; Cada vez que se ejecuta Luder.I, el documento se puede infectar varias veces.
Hazard:
Descargue y ejecute cualquier archivo Luder.I genera un archivo para descargar otros programas maliciosos a la máquina infectada. Los archivos descargados incluyen Win32 /Sinteri, Win32 /Sinray, Win32 /Sinhar y Win32 /Luder variantes.
Terminación del proceso
Cada 4 segundos, si se está ejecutando el editor de registro (regedit.exe) y otros procesos cuyos nombres contienen la siguiente cadena (mostrada en la Barra de título de Windows), Luder.I intentará Finalice el Editor del Registro y estos procesos: anti
viru
troja
avp
nav
rav
reged
nod32
spybot
zonea
vsmon
avg
blackice
firewall
msconfig
lockdown
f-pro
hijack
taskmgr
mcafee
Modificar configuración del sistema
Luder.I Modifique la siguiente clave de registro para invalidar el servicio "Firewall de Windows /Conexión compartida a Internet (ICS)" (también conocido como "Servidor de seguridad de conexión a Internet (ICF) /Conexión compartida a Internet (ICS)") servicio: HKLMSYSTEMCurrentControlSetServicesSharedAccessStart = 4 < Br> Clear:
KILL Security Armor InoculateIT 23.73.102, Vet 30.3.3288 versión puede detectar /eliminar este virus. Cómo eliminar el error:
Cómo corregir el error:
Ingrese el registro para encontrar el siguiente valor clave cambiado a 4 para solucionar el problema de la conexión compartida a Internet. Editor del Registro de Windows, versión 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess] " Start " = dword: 00000004
Muchos amigos encontraron un error de mensaje del sistema 1061 al habilitar el acceso a la red compartida en el sistema windows7, que es principalmente causado por un ataque del sistema. Solo cuando el usuario ha dominado las propiedades y los peligros del virus, se puede eliminar el virus y resolver el problema.