12   1  /  2  页   跳转

[讨论] 请看护好你的%windows%\Fonts目录

请看护好你的%windows%\Fonts目录

病毒样本来自:http://bbs.ikaka.com/showtopic-8628573.aspx

这个unins000.exe可能是被SysAnti.exe感染过的某个程序的卸载程序,运行后报告“未找到unins000.dat”。


此后,此unins000.exe访问网络,下载一个感染性病毒下载器SysAnti.exe。

SysAnti.exe运行后,释放病毒文件SysAnti.exe和autorun,inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。

接下来,首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。另:此毒释放多个病毒.dll到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;替换系统程序userinit.exe。此毒感染系统文件以外的所有.exe文件。


这个变种与前些天见到的那个文件大小相同,但MD5有变:


此毒的要害是那个%windows%\Fonts目下的随机字母名的病毒.dll。
若事先禁止病毒文件访问Fonts目录,用Tiny追踪模式运行这个病毒样本(下图),此毒比较容易清理。Fonts目录下的病毒.dll无法创建,此毒的后续动作(包括感染文件等)便无法进行。先结束此毒开启的svchost.exe进程(PID号较大的),删除各分区根目录下的SysAnti.exe和autorun.inf即可。



用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-05-30 18:07:27
分享到:
gototop
 

回复:请看护好你的%windows%\Fonts目录

好好学习一下,谢版主分享。
gototop
 

回复:请看护好你的%windows%\Fonts目录


菜鸟学堂好呗
菜鸟早晕了
弄通俗点
gototop
 

回复:请看护好你的%windows%\Fonts目录

谢谢....
就是有点不明白..:
gototop
 

回复:请看护好你的%windows%\Fonts目录

楼主辛苦了啊.
gototop
 

回复:请看护好你的%windows%\Fonts目录

我想菜鸟们还没有分清楚什么叫下载者呢。。
不过还是感谢楼主分享~
繁花落尽朝朝散,年少不知轻狂.岁月岂饶人? 心未归,人已醉,何时知我悔.碧海天,夜清心.少年梦里独摘花.
gototop
 

回复:请看护好你的%windows%\Fonts目录

看的不是很明白!

喜欢一个人很容易,但是要遇到一个你可以爱一辈子的人是很不容易的事,找到了就千万不要轻易的放弃。
gototop
 

回复:请看护好你的%windows%\Fonts目录

斑竹 说的这种状况, 我的电脑就出现过。
  那次我的电脑用瑞星杀出了6000多个毒。
我差点就没给它重装 。    哎 。 所以说经过了那次以后,我的上网习惯好了很多。
gototop
 

回复:请看护好你的%windows%\Fonts目录

很麻烦。碰到过。。手工杀太麻烦。。直接重装。 3分钟解决。。。
gototop
 

回复:请看护好你的%windows%\Fonts目录

有空下载这个病毒来玩玩~~~
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT