7ctt
新手上路
积分 17
发帖 17
注册 2007-12-24
|
#1 机子染毒了,跟下面说的差不多,是网上找的。
一个病毒弄有机子现在还不敢肯定干净不干净,谁找出办法就告诉我!
病毒的表现如下所示:
<1>感染文件。经研究,会感染U盘上和本地磁盘上的应用程序,文件包括rar与exe文件.
<2>在系统目录下生成文件。病毒会在C:\WINDOWS\system32\Com目录下生成netcfg.dll、smss.exe、lsass.exe、netcfg.000等文件.自动下载alg.exe在dirvers目录下,这个跟ARP期骗有关,会向网段发送ARP期骗包.
<3>在每个磁盘根目录下生成文件。病毒会在每个磁盘根目录下生成Autorun.inf以及pagefile.pif文件,并且开启系统的自动播放功能。如果用户双击打开磁盘即又感染。
<4>破坏安全模式,使用户无法进入安全模式进行系统修复,并且删除注册表大量键。
<5>修改文件夹选项,使用户无法查看隐藏的病毒文件,进入文件夹选项,会发现“ 隐藏受保护的操作系统文件(推荐)”项目不见了,病毒还可能会对换“不显示隐藏的文件和文件夹”和“显示所有文件和文件夹”的功能。
这些在网上也有讨论,可能是本人学艺不精,发现两个问题:
1.该病毒使用什么方法实现自启动,网上有人说会在启动项中加入~.pif,但在我所看到的感染机器中,并未发现这一点.
2.在用冰刃结束进程的时候,有时候会出现一些问题,那就是系统自动重启,可能提示系统错误,cals.exe命令错误等,有时候则不会.但是严重的是出现错误重启的话,系统无法正常进入,在即将进入系统的黑屏那里无法进入,只能看到鼠标在动.
我确定没有错误结束系统正常进程,却不知为何会产生这种问题,希望能有人讨论交流一下.
该病毒在系统启动初期会不断启动,cmd.exe以及rar.exe,还有cals.exe等等,比较活跃,MS在感染一些文件.
磁碟机病毒流行 ( C:\Windows\system32\Com\lsass.exe )文件名称:lsass.exe\smss.exe
行为分析:
1、释放病毒副本:
%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节
2、添加启动文件夹,开机启动:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
另外netcfg.dll尝试加载Shellhooks注册表项,但没有实现。
3、调用cacls,本身不判断文件系统(FAT或NTFS),后解除目录Com的权限,设为完全控制。
参数为:C:\winnt\system32\com /e /t /g admin:F
4、连接网络121.11.245.1**( 广东省惠州市 电信)下载一个ARP病毒
释放到:%Systemroot%\system32\drivers\alg.exe 15181 字节
5、查找硬盘的文件,如名称里有“360”字样则删除。
6、可能会关闭一些窗口:
"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................
7、另外那个仿系统文件的smss.exe,应该和主体lsass.exe是互斥体,也起着进程守护的作用。
8、查找磁盘,生成Auorun.inf和pagefile.pif。
9、跳过C盘,开始感染EXE文件,但并不全部感染。
感染时先把文件加载内存中,提取其图标资源,最后删除原文件,把修改过的文件栲贝回去。
因为这样,所以图标会变模糊,可能是无法读32位的....(知道的大牛请指导下)
PS:运行感染的文件,会释放一个filename.exe.log。但是仍无法执行
用PE工具对比下,基本上文件是报废了,区段被覆盖,DOS头、入口等都发生变化``
10、感染文件时如果发现Zip和Rar格式的,则用Rar自解压命令释放EXE文件,感染后重新打包放回原处!
汗一个....高科技了
11、查找硬盘的htm、html、asp、spx、php、jsp网页文件,插入一段框架代码(16进制加密)
解后得:h**p://js.k0102.com/01.asp。
被和谐了汗,打不开!
解决方法:
1、下载:
http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar
2、运行冰刃,结束假冒系统文件的病毒(Lsass.exe和smss.exe)
注意,路径在C:\Windows\system32\Com\下
3、打开,选上抑制杀灭对象生成,填入下面内容后,确定:
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
4、删除文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
5、重新安装杀毒软件,以前的杀软可能被感染了。
然后全盘扫。。那些被感染的文件恢复可能性不大``
drongrn #5发表于 2007-12-17 09:00
拜托,还是没有解决问题啊~
| |
※ ※ ※ 本文纯属【7ctt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
杀毒软件中我一直支持微点! |
|
|
