baohe - 2012-3-18 15:57:00
在Win8下玩儿ZeroAccess新变种,无辅助工具可用(XueTr等在Win8下不能运行) 。不脱离中毒环境,进入PE,要删除病毒释放的所有文件,貌似不大可能。
由于之前观察此毒时发现了一个线索:此毒可以重复感染同一系统。重复感染时,病毒程序会重新命名病毒文件所在目录。重命名前,它会先删除相应目录。由此,俺萌生了在中毒环境下“以毒攻毒”的思路,结果满意。
以下详述整个过程。
系统背景:系统Win8。
应用程序:安全软件有: 毒霸2012(Win8预览版)、Windows Defender、CA HIPS ;应用软件有:Acronis True Image、office 2010、adobe acrobat pro。
操作流程:
1、病毒样本经毒霸2012 验明正身(图1)。然后关闭毒霸2012。关闭Windows Defender、CA HIPS。
2、运行病毒样本,让其长驱直入。待样本完成运行后,重启系统。让它完全植入系统。(图2)
3、重启后,用毒霸2012扫一下病毒目录。结果可以预料:(图3)
4、调整一下CA HIPS的设置,再次运行病毒样本,开始“以毒攻毒”操作。(图4-图11)
用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60
由于之前观察此毒时发现了一个线索:此毒可以重复感染同一系统。重复感染时,病毒程序会重新命名病毒文件所在目录。重命名前,它会先删除相应目录。由此,俺萌生了在中毒环境下“以毒攻毒”的思路,结果满意。
以下详述整个过程。
系统背景:系统Win8。
应用程序:安全软件有: 毒霸2012(Win8预览版)、Windows Defender、CA HIPS ;应用软件有:Acronis True Image、office 2010、adobe acrobat pro。
操作流程:
1、病毒样本经毒霸2012 验明正身(图1)。然后关闭毒霸2012。关闭Windows Defender、CA HIPS。
2、运行病毒样本,让其长驱直入。待样本完成运行后,重启系统。让它完全植入系统。(图2)
3、重启后,用毒霸2012扫一下病毒目录。结果可以预料:(图3)
4、调整一下CA HIPS的设置,再次运行病毒样本,开始“以毒攻毒”操作。(图4-图11)
用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60