瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 假冒“微软杀软”安装程序mseinstall.exe的原始手杀流程

1   1  /  1  页   跳转

[原创] 假冒“微软杀软”安装程序mseinstall.exe的原始手杀流程

假冒“微软杀软”安装程序mseinstall.exe的原始手杀流程

其实,这个病毒并非新毒。写这个帖子的目的是:给手杀爱好者提供一个思路,通过真刀真枪的操作,长点儿本事。

我是在“爱毒霸社区”见到一个求助帖(http://bbs.duba.net/thread-22450804-1-1.html),才知道有这块料。

那个帖子2011-5-11就挂在那里,我也曾下载过他提供的样本,但解压时总报包已损坏。

今天,回去再次浏览那帖,才发现那哥们儿说:那样本本来就是.exe(而非压缩包),他只是将.exe后缀改为.7z,就传上来了。汗!

下载之。将后缀改为.exe。

1、病毒是这个样子,还有伪造的数字签名(但伪造的不好)。汗!






2、真正的mseinstall.exe的数字签名是这样子的:








运行这个样本,观察其行为,寻找比较原始的手杀方法。原始方法的好处在于:不借助特殊工具;缺点在于:操作稍嫌复杂。


其实此毒并不隐蔽。用SRENG这样的老工具就能发现其驱动项。中此毒后,之所以难搞掂,是因为病毒程序MSAPI.DAT插入了wininit.exe进程(SRENG也能发现)。若强制卸除wininit.exe进程中的病毒模块MSAPI.DAT,系统崩溃,蓝屏重启(我在WINDOWS 7 下观察到的病毒行为如此)。


灭这个病毒,还用不着动用XUE.TR。杀鸡焉用宰牛刀?咱连SRENG都不用,就用系统自带的工具灭它。


3、既然卸载病毒模块不灵,那咱就换个思路————针对病毒的服务项,在注册表权限上做点儿手脚,看看效果如何:






4、这毒果然比较俗(它不监控自己的服务项):






5、既然如此,咱就钻它这个空子————篡改其服务项后,用注册表权限将这个病毒服务项封死!



用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.11

附件附件:

文件名:03.PNG
下载次数:3181
文件类型:image/png
文件大小:
上传时间:2011-5-21 17:56:00
描述:png



最后编辑baohe 最后编辑于 2011-05-21 18:08:40
分享到:
gototop
 

回复:假冒“微软杀软”安装程序mseinstall.exe的原始手杀流程

接下来,当然是重启系统啦。



6、重启系统后,此毒释放的所有病毒文件即可轻易删除:









7、接下来,就是恢复那个病毒服务项的注册表操作权限,然后删除之。如果不会这些操作,也没啥。注册表中留下点儿垃圾而已。























最后编辑baohe 最后编辑于 2011-05-21 17:59:20
gototop
 

回复 10F 咕噜咔嚓 的帖子

你的日志中,[PID: 680 / SYSTEM][C:\Windows\system32\wininit.exe]  [(Verified) Microsoft Corporation, 6.1.7600.16385 (win7_rtm.090713-1255)]这个进程是干净的,没有病毒程序MSAPI.DAT插入。因此,这个帖子对你来说没有参考价值。
用杀软扫描吧,还是。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT