辛达星郁 - 2010-2-24 21:54:00
最近在论坛看到那些主页修改的求助帖,自己在回复的时候,根本没有一点头绪,虽然有月月置顶贴,但是不知道怎样更快更好的回答求助者,所以准备找几个典型的恶意程序亲身测试一下,从中总结点经验。
样本地址:http://bbs.ikaka.com/showtopic-8695952.aspx
紧跟着毫不犹豫的双击运行,很快就出现几个对话框,这个是恶意软件的主要特征之一,明明是下载的安装包,但是仅仅有几KB大小,并且安装速度很快,还有很迷惑人的结束语,然后自动转到恶意网址
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
随后,桌面情况变化最大的就是IE浏览器,还有就是慕名而来的图标,删也删不掉!!尝试右键删除,还会自动复制本身,打开IE就不是自己的主页,自己的软件也没有被安装
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
还有就是回收站也发生了变化,图标变成了IE图标,打开的时候,会转到篡改的IE主页
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
这种恶意软件的恶意行为也就这点猫腻,其他就没有什么动作了,只要在不断修改注册表,其目的就是恶意篡改主页
随后,就看看任务管理器里有,发现有一个浏览器的进程iexplore.exe,最可疑的就是我没有打开浏览器,他居然有浏览器的进程,找出XueTr0.32直接结束它
附件: 您所在的用户组无法下载或查看附件
然后就是通过搜索功能搜索一下它都创建了那些文件,一个一个的都删掉
附件: 您所在的用户组无法下载或查看附件
随后就是按照月月那个置顶帖子,一个一个的尝试各种工具,看看哪种情况适合什么样的工具,具体的问题具体分析,在回贴子的时候,给予求助者最好的解决方案
首先就是尝试FixIE_Plus这个工具,但是在使用的时候,效果不怎样,基本是没有什么变化
附件: 您所在的用户组无法下载或查看附件
这个不行,那就试试1188专杀工具
附件: 您所在的用户组无法下载或查看附件
接下来就上windows清理助手测试版,用绿色版直接升级到最新版,然后扫描,就发现一个可疑程序,但是只是一个ico图标文件,但是我就想怎么才查出一个问题项,不管那么多,直接转到文件所在文件夹,看到windows清理助手扫描的可疑文件,但又发现了其他两个可疑的,没办法就尝试一下按照创建时间搜索,看看是否还有其他可疑文件,但是没有搜索到任何文件,无奈之下,自己手动找到那些可疑的直接删除了事
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)
样本地址:http://bbs.ikaka.com/showtopic-8695952.aspx
紧跟着毫不犹豫的双击运行,很快就出现几个对话框,这个是恶意软件的主要特征之一,明明是下载的安装包,但是仅仅有几KB大小,并且安装速度很快,还有很迷惑人的结束语,然后自动转到恶意网址
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件随后,桌面情况变化最大的就是IE浏览器,还有就是慕名而来的图标,删也删不掉!!尝试右键删除,还会自动复制本身,打开IE就不是自己的主页,自己的软件也没有被安装
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件还有就是回收站也发生了变化,图标变成了IE图标,打开的时候,会转到篡改的IE主页
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件这种恶意软件的恶意行为也就这点猫腻,其他就没有什么动作了,只要在不断修改注册表,其目的就是恶意篡改主页
随后,就看看任务管理器里有,发现有一个浏览器的进程iexplore.exe,最可疑的就是我没有打开浏览器,他居然有浏览器的进程,找出XueTr0.32直接结束它
附件: 您所在的用户组无法下载或查看附件然后就是通过搜索功能搜索一下它都创建了那些文件,一个一个的都删掉
附件: 您所在的用户组无法下载或查看附件随后就是按照月月那个置顶帖子,一个一个的尝试各种工具,看看哪种情况适合什么样的工具,具体的问题具体分析,在回贴子的时候,给予求助者最好的解决方案
首先就是尝试FixIE_Plus这个工具,但是在使用的时候,效果不怎样,基本是没有什么变化
附件: 您所在的用户组无法下载或查看附件这个不行,那就试试1188专杀工具
附件: 您所在的用户组无法下载或查看附件接下来就上windows清理助手测试版,用绿色版直接升级到最新版,然后扫描,就发现一个可疑程序,但是只是一个ico图标文件,但是我就想怎么才查出一个问题项,不管那么多,直接转到文件所在文件夹,看到windows清理助手扫描的可疑文件,但又发现了其他两个可疑的,没办法就尝试一下按照创建时间搜索,看看是否还有其他可疑文件,但是没有搜索到任何文件,无奈之下,自己手动找到那些可疑的直接删除了事
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)