baohe - 2009-9-11 21:07:00
这个病毒在我的XPSP3系统中运行有障碍,尽管运行病毒前关闭了所有安全软件。但cmd运行这个P时系统还是有报错。
报错具体信息如下图:
本帖说的是这个样本(MD5键见下图)
尽管如此,通过实机运行观察此样本,还是发现了这个病毒的软肋————手工杀毒前务必先断开网络;然后用组策略中的软件限制规则(散列规则)禁止下列病毒程序运行:
重起后用IceSword强制删除windows目录中的两个文件(此毒之所以难杀,关键在这两个病毒程序,见下图):
其余的病毒文件可以直接手动删除:
剩下的就是恢复被病毒删除的注册表键/删除病毒添加的注册表键(见第一个图)。
病毒运行以及后续系统及应用程序的.exe运行中一直未见.mdf文件生成。
补充:经过分析该病毒会感染exe文件
感染方式:病毒会把被感染文件的前8000h拷贝出来(加密,有的变种不加密)然后写入一个扩展名为.mdf的文件中(文件名和被感染文件一样)
在被感染的样本中还有对应的还原文件代码,用的是上述操作的逆操作,大致流程是这样的:首先把自身拷贝成.lnk文件(文件名和被感染文件一样),然后从同目录中读取相同文件名且扩展名为.mdf的文件(也就是原文件的前8000h数据),经过解密(有的变种不用解密),再把这些数据贴到.lnk文件的前8000h,至此.lnk文件就是已经恢复好的原文件了。
瑞星杀毒软件对于此病毒的修复也类似于病毒的修复
先遍历同目录下同文件名的.mdf文件,然后根据变种的不同对文件进行解密,再把解密后的数据贴回到原文件中。
因此中了此毒的朋友 一定不要删除.mdf文件 否则修复会失败!切记!
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
报错具体信息如下图:
本帖说的是这个样本(MD5键见下图)
尽管如此,通过实机运行观察此样本,还是发现了这个病毒的软肋————手工杀毒前务必先断开网络;然后用组策略中的软件限制规则(散列规则)禁止下列病毒程序运行:
重起后用IceSword强制删除windows目录中的两个文件(此毒之所以难杀,关键在这两个病毒程序,见下图):
其余的病毒文件可以直接手动删除:
剩下的就是恢复被病毒删除的注册表键/删除病毒添加的注册表键(见第一个图)。
病毒运行以及后续系统及应用程序的.exe运行中一直未见.mdf文件生成。
补充:经过分析该病毒会感染exe文件
感染方式:病毒会把被感染文件的前8000h拷贝出来(加密,有的变种不加密)然后写入一个扩展名为.mdf的文件中(文件名和被感染文件一样)
在被感染的样本中还有对应的还原文件代码,用的是上述操作的逆操作,大致流程是这样的:首先把自身拷贝成.lnk文件(文件名和被感染文件一样),然后从同目录中读取相同文件名且扩展名为.mdf的文件(也就是原文件的前8000h数据),经过解密(有的变种不用解密),再把这些数据贴到.lnk文件的前8000h,至此.lnk文件就是已经恢复好的原文件了。
瑞星杀毒软件对于此病毒的修复也类似于病毒的修复
先遍历同目录下同文件名的.mdf文件,然后根据变种的不同对文件进行解密,再把解密后的数据贴回到原文件中。
因此中了此毒的朋友 一定不要删除.mdf文件 否则修复会失败!切记!
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1