Qoologic là một trong số các chương trình virus quảng cáo phức tạp lây nhiễm qua Internet. Nó tiêm nhiễm các file DLL vào trong mọi tiến trình của người dùng. Nó cũng ẩn các tiến trình khác của nó và các file của nó. Bởi vì mỗi tiến trình sẽ thực thi việc kiểm tra các tiến trình khác, gỡ bỏ nó là một nhiệm vụ
không ựơn giản.
Công nghệ chống lại việc gỡ bỏ
Ớ Sử dụng nhiều tên ngẫu nhiên với ựuôi DLL Ớ Tiêm nhiễm vào tất cả các tiến trình người dùng Ớ Làm lại các khóa regedit với các khóa giả mạo Ớ Ẩn các khóa ở regedit
Ớ Ẩn file
Ớ Sử dụng trình Control Panel Applet ựể cài ựặt Ớ Làm lại các file thành các file giả mạo
Ớ Thay ựổi ứng dụng dựa trên các tool ựã ựược sử dụng
Xem thêm ởựây
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=43264 Các tiến trình ỔClosesỖ khi mở Process Explorer
đúng như là Process Explorer mở thì tiến trình của virus ỔclosesỖ. đây là cách thay ựổi Ờ tiến trình virus vẫn ựang chạy nhưng nó bịẩn
Một file DLL(ựôi khi là 2) ựã ựược tiêm nhiễm vào tất cả các tiến trình của người dùng
Ít nhất một file không hiện trong Explorer
Explorer không thể nhìn thấy hết các file DLLs và bất cứ tiến trình của file EXE RKDecetor2 không chỉ
hiện các file bịẩn
Chỉ một vị trắ nhỏ của Qoologic không bịẩn bởi Autoruns
IceSword sẽ theo dõi tiến trình mặc dù nó bịẩn không hiện ựược
Gỡ (unload) các file DLL từ những tiến trình bị tiêm nhiễm và giết các malware Qoologic bằng cách tiến trình ựang chạy ựó
Hiển thị một số tiến trình chạy lúc khởi ựộng
Thực thi việc xóa file: