可能大家经常在公共场合的电脑上打印或者拷贝一些文件,相信很多人都对公共计算机上的病毒厌恶许久,今天笔者就惨遭病毒破坏,亲眼看着U盘里的文件一点一点的被病毒同化233333333333333,出于礼貌的回礼,笔者分析了病毒的产生和工作原理,在此记录分享。(声明:该病毒最后被360轻松删除)
其实叫病毒似乎有点不妥,应该叫做恶意程序,产生源头有两种,一种是制造者恶意制造,另一种相同原理的出现在编程时的失误。
病毒核心文件数目:两个
类型:.inf + .exe
体积:超轻羽量级
效果:自动生成和目标文件名相同的.exe文件,同时隐藏源文件,并不会删除或者更改文件,就是让你找不到你的文件=。=
一般的应对办法:在文件选项中查看隐藏文件即可。
常用的应对办法:格式化U盘,但是是无效的。360沙箱可以成功隔离。
病毒特征:
1、只对文件夹有效;
2、只对同一层目录下的文件夹起效果;
3、生成的【(源文件夹名).exe】文件可以直接删除,不会再生;
4、核心文件:SysAnti.exe 和 AutoRum.inf 同时存在,删除其中之一或者同时删除均会再生;
病毒分析:笔者在核心inf文件中找到了自动运行的创建exe文件和其他功能的代码,同时笔者猜测exe文件有自动生成inf的功能,所以自从它们被创造出来的时候就不停的等待着复活对方=。=,这是一个死循环。凡是和病毒文件有关的操作均会被立即关闭,比如用记事本打开inf就会秒退(强行截图拼手速,出于安全考虑,图片不上传~)。总之笔者尝试了各种办法都没有成功手动更改或者删除这个恶意程序。
个人认为,
第一、程序的生成速度极快,手动删除亦或者两个同时删除依旧赶不上它的生成速度,而且exe文件运行时间极短,任务管理器上只是闪现一下,甚至有时候都不出现。
第二、两个文件自动互相生成,相当于构成了死循环,从外部插手停止循环似乎有点困难,所以笔者想到了沙箱技术,结果也的确是被360沙箱解决了,至于怎么解决的笔者还在查资料研究。
不过说来这个病毒程序也蛮可爱的,好像在和你玩捉迷藏,删不掉也不自己破坏别的文件,就是藏起来让你找半天。不过嘛,这么调皮真的好么=。=
笔者暂时研究到现在,沙箱技术还望读者赐教,若文中有不妥之处,还请各位指正。虚心接受,不胜感激。
1224
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
