天月来了 - 2010-6-29 14:35:00
呵呵!!!
不可修复就可怜了
附件:
您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
newcenturymoon - 2010-6-29 15:15:00
该病毒的还原是这样的
先把自身拷贝为xx.exe.lnk(假设原先的文件名为xx.exe)
从xx.exe.lnk的尾部取出0x8000字节数据 然后和一个加密表异或解密
解密出来的数据是原文件的前0x8000字节数据 然后贴回到xx.exe.lnk文件中 这样xx.exe.lnk理应就是被修复的样本了 然后病毒会启动这个xx.exe.lnk也就是被修复的源文件
但这些样本都被反复感染了 最后0x8000个字节解密出来的数据 和被感染样本头部依然一样 无法找到最原始的数据了 所以你看到的是xx.exe运行后恢复成了xx.exe.lnk 由于xx.exe.lnk还是病毒 所以他会继续调用修复函数继续恢复 进而生成xx.exe.lnk.lnk 依次类推...
所以如果这个样本跑起来后 无限生成.lnk.lnk.lnk这样的文件 就肯定无法修复了
© 2000 - 2025 Rising Corp. Ltd.