昨天不小心中了传说中的和大名鼎鼎的"熊猫烧香"类似的病毒,名叫"小兔子".上网一查, 原来是个16岁的小孩子写的.......
...... 现在的学生啊......真了不得.
好吧,既然中了,重装系统是必然的了.咱也不会做什么病毒分析什么的,那就先看看它在表面上是怎么运行的吧.打开cmd,运行tasklist命令,发现多了以下几个进程:
1. nvscv32.exe
2. rabbit.exe
3. loverabbit.exe
(开始沾沾自喜了....嘻嘻,小样,你以为你把任务管理器劫持了我就怕你啦?)
运行taskkill命令结束掉他们吧......
结果并不是这样.....只有nvscv32.exe和rabbit.exe可以杀掉,对于loverabbit.exe却说明是拒绝访问了.....
杀也杀不掉......
我用微软(是微软吧?)出的那款叫proxp的软件一看,原来loverabbit.exe在winlogon的子进程下,杀掉它又会自启动(谁能告诉我这是为什么?难道是winlogon在保护它?)
仔细看了看,这个病毒会每隔一秒钟就调用自身,再由产生的这个进程调用系统里的cmd.exe和attrib.exe.想了一下,原来它在system32文件夹下写了一个名叫loverabbit.bat的文件.其内容如下:
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
通过调用attrib实现往磁盘里写入AutoRun.inf和Rabbit.exe文件的效果.......
于是,我突然产生了一个可笑的想法:要是我把system32里的cmd.exe转移了的话.....
病毒想进行的操作是不是就不能进行了呢?
先将进程挂起......然后就将system32下面的cmd.exe转移了,结果发现,果然如我所想,病毒进程变成了每隔一秒就调用自身一下,但没有调用cmd.exe和attrib.exe,准确的说,是没有调用成功,而且cpu使用率也比刚才低了很多
于是我就想,似乎平常我们见到的病毒文件中有很多都是需要调用系统的一些常见程序的,如果我们把这些程序转移到另一个地方的话,那么是不是就相对能安全一些呢,我的意思是,即使中了毒,也不会对系统有多大损害.....
注明:
1.本人对病毒还是一知半解,很多东西只是自己在想的,希望大家不吝赐教,也希 大家能指出存在的错误.....
2.关于这个帖子里提到的"小兔子病毒",还是没杀掉,希望有高手能给我讲一下为什么那个loverabbit.exe进程杀不掉.....最好能讲一下原理所在
3.希望有高手能够给出此病毒技术上的分析,因为我发现它比熊猫烧香还要可怕.....(这个病毒将X:\programfiles下的所有可执行文件全都感染了)需要样本的话,可以找我
4.以血的教训敬告网友们上网要慎重.......在这个病毒横行的网络上,小心为妙.....
