瑞星卡卡安全论坛

样本来源：http://bbs.ikaka.com/showtopic-8739071.aspx


这个病毒有假冒的数字签名（图1）；其释放的病毒文件也有数字签名。但其数字签名是无效的。


此毒完整运行后插入系统进程winlogon.exe并动态插入用户运行的应用程序进程。因此，病毒文件不能用一般的简单删除搞掂。

当然，用IceSword可以直接强制删除此毒释放的病毒文件。

下面的操作，只是为了戏弄一下这个貌似很牛的病毒。此操作流程并非最简单的手工杀毒操作，这样做的目的是看看这个病毒的自我保护做得怎么样。

1、用记事本编辑一个文件（内容随便写），保存为c:\1.drv。保存在其它任何地方都行。保存为c:\1.drv只是为了操作方便。
2、打开IceSword，将这个c:\1.drv分别拷贝到下列病毒文件：
%windows%\system\MSAPI.DRV
%windows%\system\MSSETUP.TSK
%windows%\system\MSWINDOW.DRV
%windows%\system\WINDNSAPI.IME

具体操作参考图2-图3。



3、用IceSword强制删除%temp%目录下的病毒文件（见图4红框）：



4、重启。删除%windows%\system\目录及%temp%目录下的病毒文件（图5）：



5、删除病毒添加的服务项msSystem。

重启。检查一下%windows%\system\目录。病毒文件未再现。




以上手工杀毒操作结果证实：这个病毒的自我保护做得不够。至少没针对IceSword的文件拷贝采取措施。

用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.60

请教一个问题，使用IceSword把1.drv文件拷贝到病毒对应的文件，
是为了覆盖替换掉病毒释放的几个文件吗？:kaka11:

是的

IceSword的文件拷贝能力，目前是最强的了

没见比它再强的

你念叨：“这个病毒的自我保护做得不够。至少没针对IceSword的文件拷贝采取措施。
”

这不是为难人么:kaka8:

将这个c:\1.drv分别拷贝到下列病毒文件所在文件夹下，是什么目的？？

用自己瞎编的那个1.drv替换病毒文件。

戏弄这个病毒的办法有N种。

下图是略施小计后，将病毒文件一锅端的场景:kaka12:



一锅端之后，重启系统。核实“一锅端”的效果：

利用冰刃的超强复制能力，将那个无用的c:\1.drv文件复制到病毒的目录内，并命名为病毒的名字，就可以替换掉病毒的前面部分代码数据

例如你的c:\1.drv文件内的数据如果当初是用空白记事本做的，并且输入数字12345的话，那么复制到病毒那以后，病毒原文件的头部起始部分的数据就是12345的数字。

然后病毒就不可能开机再正常工作了

此方式是冰刃最强的操作行为。

利用它的人很少的。

还有更好的办法：手工收拾掉这个病毒后，让这个inst.exe无法运行。以免重复感染此毒（比如：那位求助者的境遇）。

办法也很简单:kaka12:

下图是“一锅端”之后，双击病毒程序inst.exe的结果：

猫叔强大:kaka12:

最后搞什么破坏  让它无法运行的:kaka11:

该用户帖子内容已被屏蔽

方法不错，只是不具备一定的水平是操作不了的啊

去试试！

冰刃实在是个手动杀毒的好工具

汗,现在才看到.

今天刚刚又截获了一个样本。。。。

附件，密码Inst

附件: 可疑文件.rar

很不错

这个DRV文件的方法真是不错的思路啊~赞N个

IceSword很强，只可惜不更新了