最强的AUTO病毒分析

2008/12/29 来源:www.arpun.com 作者:小白

我实机运行的, 样本运行后有两个进程, 当然是VBS解释器

C:\WINDOWS\System32\WScript.exe

C:\WINDOWS\System32\WScript.exe

然后写C:\WINDOWS\system32\regedit.exe

调用C:\WINDOWS\system32\regedit.exe改写注册表\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\parameters值00000001

写启动项与文件C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.bat

然后调用C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.bat疯狂的写文件:

C:\WINDOWS\HELP\winlogon.exe

C:\WINDOWS\system32\regedit32.com

C:\WINDOWS\WEB\internat.exe

C:\WINDOWS\system32\msconfig.exe

C:\WINDOWS\system32\regedit.exe

貌似改写C:\WINDOWS\system32\winlogon.exe下的系统核心文件效签名没通过了。

C:\WINDOWS\HELP\winlogon.exe进程还写了注册表中

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

C:\WINDOWS\SYSTEM32\USERINIT.EXE,userinit.exe

各盘还建了AUTOrun.这个我就不说了。

还真不少我 sin了一下看图:

最强的AUTO病毒分析AUTO病毒

这个毒难杀就在如果你单看启动项会看不见那么多的病毒文件, 也就是利用全局变量的原理了, 比如我想运行regedit.exe我的全局会先去找病毒程序C:\WINDOWS\system32\regedit.exe, 然后再去找正常文件下C:\WINDOWS\regedit.exe的如果你手动以后不全盘杀会清理不干净最好手动以后全盘了。

知道原理杀就简单了来吧:

最强的AUTO病毒分析AUTO病毒

设置如上删除占位很重要, 防止如感染的winlogon回写, 结进程和删除文件。

最强的AUTO病毒分析AUTO病毒

清理注册表userinit用修复注册表这个大家都知道, 第一项也删除站位。

干掉:

C:\WINDOWS\system32\regedit32.com

C:\WINDOWS\WEB\internat.exe

C:\WINDOWS\system32\msconfig.exe

C:\WINDOWS\system32\regedit.exe

……

从启用wy自带的如图

最强的AUTO病毒分析AUTO病毒

重启后进PE系统替换掉感染的winlogon.exe这个有可能没有感染但为了保险的。 我好像是感染了。

然后进系统修复工作就可以了。 最好还是全盘扫一下。 包括各盘的AUTORUN。 exe还有两个小文件。 都干掉。

网友评论
评论(...
全部评论