我实机运行的, 样本运行后有两个进程, 当然是VBS解释器
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
然后写C:\WINDOWS\system32\regedit.exe
调用C:\WINDOWS\system32\regedit.exe改写注册表\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\parameters值00000001
写启动项与文件C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.bat
然后调用C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.bat疯狂的写文件:
C:\WINDOWS\HELP\winlogon.exe
C:\WINDOWS\system32\regedit32.com
C:\WINDOWS\WEB\internat.exe
C:\WINDOWS\system32\msconfig.exe
C:\WINDOWS\system32\regedit.exe
貌似改写C:\WINDOWS\system32\winlogon.exe下的系统核心文件效签名没通过了。
C:\WINDOWS\HELP\winlogon.exe进程还写了注册表中
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\SYSTEM32\USERINIT.EXE,userinit.exe
各盘还建了AUTOrun.这个我就不说了。
还真不少我 sin了一下看图:
这个毒难杀就在如果你单看启动项会看不见那么多的病毒文件, 也就是利用全局变量的原理了, 比如我想运行regedit.exe我的全局会先去找病毒程序C:\WINDOWS\system32\regedit.exe, 然后再去找正常文件下C:\WINDOWS\regedit.exe的如果你手动以后不全盘杀会清理不干净最好手动以后全盘了。
知道原理杀就简单了来吧:
设置如上删除占位很重要, 防止如感染的winlogon回写, 结进程和删除文件。
清理注册表userinit用修复注册表这个大家都知道, 第一项也删除站位。
干掉:
C:\WINDOWS\system32\regedit32.com
C:\WINDOWS\WEB\internat.exe
C:\WINDOWS\system32\msconfig.exe
C:\WINDOWS\system32\regedit.exe
……
从启用wy自带的如图
重启后进PE系统替换掉感染的winlogon.exe这个有可能没有感染但为了保险的。 我好像是感染了。
然后进系统修复工作就可以了。 最好还是全盘扫一下。 包括各盘的AUTORUN。 exe还有两个小文件。 都干掉。
