又让我中了一个portable executed类型的病毒,这次叫"Trojan-Downloader.Win32.Agent.ben",病毒大百科全书上在2007.1.12.就已经监控到了,现在(2007.1.22.)卡巴斯基可以查杀,但只能删除中毒文件,不能从染毒exe中清除病毒。只好又自己动手了。
分析:感染pe exe文件头,可重复感染,有头再加头,单个头大小95744字节,其中前86221字节是有效部分,从86222开始到95744字节是随机增加的内容,pe尾部每被感染一次增加随机4个字节。病毒运行后下载http://no.sinabc.net/newabc.exe,同时寻找和感染其它pe文件,然后会继续下载其它木马和病毒,恶梦开始。这个病毒可能还在试验阶段,运行感染的pe exe文件后会备份一个"exename~.exe",这是染毒以前的副本,病毒作者可能是在自己工作用的机器上做实验,所以自己也想备份一下。
想追查病毒的始作俑者,可请申报公安部追查sinabc.net这个域名和服务器所在。恢复exe文件方法和上次《恢复被"维金"病毒感染的exe文件》里写的一样,再粘一次吧。
工具叫killLogo1_,用法:
1.运行cmd(command line,命令行),找出每一个分区下的所有exe文件,命令是这样的:
dir /s c:/*.exe > c:/c.txt回车
意思是显示c盘和所有子目录下的exe文件,输出到c盘根目录下的c.txt文件
"dir空格/s空格c:/*.exe空格>空格c:/c.txt",别弄错了
2.用windows的记事本新建一个空c_path.txt,保存为UTF8编码,一顶要UTF8,我的工具只能识别这种编码,否则查毒路径上有中文名会出错,找不到文件。然后把c.txt文件中有exe文件路径的行,复制到c_path.txt,每个路径一行,前后不能有空格,每个路径的最后加上“/”。然后同样的方法,把d,e,f,g,...盘上的有exe文件的路径也存到d_path.txt,e_path.txt,...
3.如果没有.net的运行环境,到微软的网站去下载
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=262D25E3-F589-4842-8157-034D1E7CF3A3
Microsoft? .NET Framework 1.1 版可再发行组件包,我用的是.net v1.1,更高的版本可以向下兼容,所以装2.0以上也没问题。
4.运行killLogo1_.exe,点"载入路径文件",把刚才弄的c_path.txt载进去,一次只能载一个,然后点"查毒",查完以后再点"清除"。必须按这个顺序,否则不行。killLogo1_.exe同路径下有一个vir.data,是病毒体,为了和exe文件头比较用的,不要删除,为了防止有人误运行,我把后缀.exe改成.data。
5.前面说了我中的毒是55937字节,听说这个病毒有很多变种,所以长度可能会变,那么我的工具就清除不了了,在使用之前你可以看看你的Logo1_.exe或rundl132.exe是不是55937字节,我提供了工具源码,如果你和我的长度不一样,到源码里搜搜55973,把所有搜到的都改成你的长度,编译,然后就可以用了。
6.很难用是吧,但是为了清除病毒,用吧
下载地址:
需要请留邮件给我吧,地震以后就连不上我的google空间,没地方放了
943
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
