冷风

心专十年-功必成 专注于 木马,病毒,蠕虫 ,渗透,研究 QQ: 121121606

"中国黑客II"病毒分析 并手工查杀

中国黑客II在我的地牌上混,招呼都不打一个!!!这点邻我很不爽!!!

招起家伙招呼它!KV 一通狂杀

结果这一杀就是3-4个小时 *.eml文件干掉好几千!晕这样也下去肯定自己就挂了

上网找专杀工具

好慢啊 (因为中国黑客的主进程runouce.exe占了20%--50%的CPU)!!

找到一个金山的专杀工具 试试? 哭 查不出来 但runouce.exe进程还明显的可以看到啊?

看来只有自己亲自招呼它了!

跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应

知道上面就够了 招家伙 System Safety Monitor (SSM)是一个很猛烈的工具

可不比IceSword(冰刃)差哦 关于使用自己找找资料吧

通过SSM的监视发现

中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe!!想不到吧^_^

以下是详黑客II详细步骤

1>调用如下API

   ProtectVirtualMemor

   WriteProcessMemory

   CreateRemoteThread

进行对explorer.exe 与taskmrg.exe进行注入

成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络(局域网)发送

“My god! Some one killed ChineseHacker-2 Moni”

之后还会调用 net1.exe重新发送 以确保成功发送

这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西

所以我们清除起来也就简单多了

先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性

然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性

只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe

然后 右键新加的规则 选 阻止

结束 runouce.exe进程 删除 system32/下的runouce.exe

最后 删除 注册表

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

下面的runouce.exe(不删也可以 反正它也启动不了了^_^)

重起试试没事了吧?

 

 

 

 

 

 

阅读更多
个人分类: 原创文章 C++/VC++
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

"中国黑客II"病毒分析 并手工查杀

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭