关于围巾变种测试经历和挽救方法
下午放学后出去帮人修下电脑.顺便揪到一个围巾.不过瑞星10月20的病毒库并没有报毒而27号的最新病毒库报.DR变种.而且这个病毒变种与以往也有些不同.不过基本行径还是差不多.我就拿了虚拟机自己测试了一下.觉得这个变种感染后的硬盘还可以挽回.而且操作简单.所以为了方便大家.我把工具发在我的空间.再截一些图做一些浅显的分析帮大家理解.献丑了.
首先被感染的EXE.有的会明显看出异常.有的却是看不出的.能分辨出来的.例如有图标花了.还有图标变粗糙了.只要运行了被感染的EXE.就会启动围巾.
他会释放文件在
X:\System Volume Information\_restore{2F4A6C3C-4A9D-45A0-894C-FF8E314F7C0A}\RP4里面.这里面看到的就是你运行的那个被感染的EXE程序的图标.看图一和图二.
而运行被感染EXE以后就能很明显看到.进程里面有利用CMD调用EXE程序[参考图3].里面包含本身的EXE文件还有一个LOGO1.EXE的文件.运行的时候在目录里会出现双重EXE后缀的文件.它是把原本的EXE文件释放出来命名为双EXE后缀.然后运行本身的EXE程序和LOGO1.EXE.所以被感染的EXE还是可以用的.你要是没有注意进程就不知道它已经被感染了.具有一定迷惑性.而且.被感染文件运行后.会把双EXE后缀的文件覆盖掉被感染文件.即是还原了EXE程序.所以运行一次以后.程序的图标又变回去了.程序也恢复原状.
我们可以看到每个被感染的EXE文件都比原来多了33876字节.
当运行以后.又会减少了33876字节.说明这个EXE程序已经不带毒了.
而通过我的尝试.可以利用一个反捆绑程序.把被感染的EXE文件里面.把病毒程序和本身的程序分离出来.从而挽救这些被感染EXE.而不必通过运行病毒来还原EXE这个苦肉计来挽救它.这个反捆绑工具大家可以去我空间下载.
要手工杀除这个病毒很容易.
打开MSCONFIG.把RUNDL132那一项去掉.[参考图4]
删除系统盘:\WINDOWS\RUNDL132.EXE
删除系统盘:\WINDOWS\LOGO_1.EXE
再删除X:\System Volume Information\_restore{2F4A6C3C-4A9D-45A0-894C-FF8E314F7C0A}\RP4里面的文件.
大概就可以了.
大家也不必再害怕围巾了.参考图5来使用工具挽救你的EXE.把分离出来的没带毒的EXE程序可以直接投入使用.而另一个则是病毒程序.可删除.
我的空间是http://free.ys168.com/?greysign
欢迎去下载样本和工具.
我的油箱是greysign@126.com欢迎投毒
图一:
