今天别人听友人说他中了一个不知名的病毒,他用他的江民杀不掉,还感染了好多文件,我就问他要了一个染毒文件来研究了一下。
运行了那个染毒文件,在系统目录生成很多新文件:
winxp.exe
0sy.exe
1sy.exe
...(开头是0到5的sy.exe,共6个这样的文件)
5sy.exe
rundl132.exe(两个)
svhost32.exe(两个)
svchost.exe
svchs0t.exe
winmer.exe
mswdm.exe
vbarun.dll
dllz.dll
msdll.dll
ztdll.dll
packet.dll
wanpacket.dll
wpcap.dll
npf.sys
C:/Program Files/woool2/*.*
xiaran.dat(最麻烦就是这个,要先在注册表里面查找"xiaran.dat",把所有的与它相关的内容全部删掉,重启了才能删除它。如果不删除它,”QQ尾巴”一直存在)
这些都不是很难删掉(具体有些比较难删除的,请参见我的另一篇文章《 利用组策略来防病毒》)
同时修改了注册表很多地方,可以在注册表编辑器里面查找以上的那些文件名,把相关的都删掉就行,打开QQ之后会有类似”QQ尾巴”的那些信息(信息是:“帮我妹妹投个票啦!她竞选QQ小姐,她最近扫描到QQ空间上的照片,谢谢啦”,然后接一个网址)。这倒不是很重要,重要的是他还感染了很多其他的程序,使得很多程序都不能使用了。以往的“QQ尾巴“之类的木马可不会感染其他的文件,所以只要把那些与他相关的病毒文件删掉,把注册表改回来就行了。但是现在他使我的一些exe文件不能运行了,这样就麻烦了。
现在把刚才病毒自己生成的那些文件删掉,把注册表改回就不再有类似”QQ尾巴“的特征了。但是他使得我的许多exe文件不能运行,还得想办法把它们还原才行。仔细分析之后,发现这个不难解决。
本来还想拿我的金山毒霸来试试看查不查得出,没想到金山那几个执行文件自己都中招了,都运行不了,看来还是我手工来吧。
这个病毒并不是会感染所有的可执行文件的,但目前还不清楚什么特征的文件会被感染,只知道这些被感染的程序一般图标都会改变,并且文件版本号都变为1.0.0.0,并且大小都在 1M 以下或者大一点点。如果运行这些程序,都不会再执行原来的功能,而是启动感染程序再次激活病毒,同时在同一个目录里面生成 viDll.dll 文件。
首先要识别哪些程序是被感染了的。用 UltraEdit 打开染毒文件,发现每个被感染的文件的开头都是以下内容:
00000000h: 4D 5A 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 ; MZKERNEL32.DLL..
00000010h: 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 00 00 00 ; LoadLibraryA....
00000020h: 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 ; GetProcAddress..
00000030h: F6 79 00 00 42 79 4B 77 77 69 6E 67 40 00 00 00 ; 鰕..ByKwwing@...
这样识别起来就容易了。写一个简单的程序,搜索所有的exe文件,打开并读取头几个字符,有以上的特征基本上就可以判断被感染了。
挑选出了所有被感染的文件之后,还得分析看看有没有还原为原始文件的可能。观察了那些被感染的文件后,发现基本上这些文件的大小都是比原始文件大了600k多一点(有些程序的大概原始大小我还是记得的)(注1)。看来病毒可能只是把自己附加在原始文件的某个部分,那么提取回原始文件还是有希望的。
刚巧找了一个压缩包,里面还有一个被感染的文件的原始文件,用他来和染毒文件对比了一下。从 0x000989f6 开始之后的所有内容都和原始文件一样,看来病毒文件只是简单的附加在了原始文件的前面(我就不知道病毒为什么还要留着原始文件的数据,反正运行染毒文件之后又不会执行原始程序的那些功能,像被有些病毒破坏之后根本就没法还原了,还好这个病毒没那么恶劣)。那么事情就简单多了,在刚才写的那个识别程序里面加上从提取原始文件的功能,就可以批量的还原被感染的程序了,在此就不再赘述。
幸好这次被这个病毒感染的程序还能还原回来,要不然一大批的程序又得去重新下载重新安装了。看来还是预防胜于治疗。
注1:关于关于这个病毒在原始文件之前附加的内容的大小,之后我再用其他机台机试的时候发现原来它附加在前面的数据大小是变化的。但是如果从染毒文件的第一个字节开始找,找到第三次出现应用程序特有的打头标志“4D 5A”,则这里肯定是原始文件的开始。从这里开始直到最后都是原始文件的内容。
运行了那个染毒文件,在系统目录生成很多新文件:
winxp.exe
0sy.exe
1sy.exe
...(开头是0到5的sy.exe,共6个这样的文件)
5sy.exe
rundl132.exe(两个)
svhost32.exe(两个)
svchost.exe
svchs0t.exe
winmer.exe
mswdm.exe
vbarun.dll
dllz.dll
msdll.dll
ztdll.dll
packet.dll
wanpacket.dll
wpcap.dll
npf.sys
C:/Program Files/woool2/*.*
xiaran.dat(最麻烦就是这个,要先在注册表里面查找"xiaran.dat",把所有的与它相关的内容全部删掉,重启了才能删除它。如果不删除它,”QQ尾巴”一直存在)
这些都不是很难删掉(具体有些比较难删除的,请参见我的另一篇文章《 利用组策略来防病毒》)
同时修改了注册表很多地方,可以在注册表编辑器里面查找以上的那些文件名,把相关的都删掉就行,打开QQ之后会有类似”QQ尾巴”的那些信息(信息是:“帮我妹妹投个票啦!她竞选QQ小姐,她最近扫描到QQ空间上的照片,谢谢啦”,然后接一个网址)。这倒不是很重要,重要的是他还感染了很多其他的程序,使得很多程序都不能使用了。以往的“QQ尾巴“之类的木马可不会感染其他的文件,所以只要把那些与他相关的病毒文件删掉,把注册表改回来就行了。但是现在他使我的一些exe文件不能运行了,这样就麻烦了。
现在把刚才病毒自己生成的那些文件删掉,把注册表改回就不再有类似”QQ尾巴“的特征了。但是他使得我的许多exe文件不能运行,还得想办法把它们还原才行。仔细分析之后,发现这个不难解决。
本来还想拿我的金山毒霸来试试看查不查得出,没想到金山那几个执行文件自己都中招了,都运行不了,看来还是我手工来吧。
这个病毒并不是会感染所有的可执行文件的,但目前还不清楚什么特征的文件会被感染,只知道这些被感染的程序一般图标都会改变,并且文件版本号都变为1.0.0.0,并且大小都在 1M 以下或者大一点点。如果运行这些程序,都不会再执行原来的功能,而是启动感染程序再次激活病毒,同时在同一个目录里面生成 viDll.dll 文件。
首先要识别哪些程序是被感染了的。用 UltraEdit 打开染毒文件,发现每个被感染的文件的开头都是以下内容:
00000000h: 4D 5A 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 ; MZKERNEL32.DLL..
00000010h: 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 00 00 00 ; LoadLibraryA....
00000020h: 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 ; GetProcAddress..
00000030h: F6 79 00 00 42 79 4B 77 77 69 6E 67 40 00 00 00 ; 鰕..ByKwwing@...
这样识别起来就容易了。写一个简单的程序,搜索所有的exe文件,打开并读取头几个字符,有以上的特征基本上就可以判断被感染了。
挑选出了所有被感染的文件之后,还得分析看看有没有还原为原始文件的可能。观察了那些被感染的文件后,发现基本上这些文件的大小都是比原始文件大了600k多一点(有些程序的大概原始大小我还是记得的)(注1)。看来病毒可能只是把自己附加在原始文件的某个部分,那么提取回原始文件还是有希望的。
刚巧找了一个压缩包,里面还有一个被感染的文件的原始文件,用他来和染毒文件对比了一下。从 0x000989f6 开始之后的所有内容都和原始文件一样,看来病毒文件只是简单的附加在了原始文件的前面(我就不知道病毒为什么还要留着原始文件的数据,反正运行染毒文件之后又不会执行原始程序的那些功能,像被有些病毒破坏之后根本就没法还原了,还好这个病毒没那么恶劣)。那么事情就简单多了,在刚才写的那个识别程序里面加上从提取原始文件的功能,就可以批量的还原被感染的程序了,在此就不再赘述。
幸好这次被这个病毒感染的程序还能还原回来,要不然一大批的程序又得去重新下载重新安装了。看来还是预防胜于治疗。
注1:关于关于这个病毒在原始文件之前附加的内容的大小,之后我再用其他机台机试的时候发现原来它附加在前面的数据大小是变化的。但是如果从染毒文件的第一个字节开始找,找到第三次出现应用程序特有的打头标志“4D 5A”,则这里肯定是原始文件的开始。从这里开始直到最后都是原始文件的内容。
扫一扫
1351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
