工大病毒专杀 之 开始菜单乱飞篇
by 随风飘扬 [E-mail:nicch@ah163.com,QQ:286495995]
------------------------------------------------------------------------------------------------------------
话前: 其实这个病毒满好玩的,开始菜单满天飞.
于是捞来一个病毒副本进行研究,可惜的是不管寡人如何精心调教
它发作后不管是虚拟机还是我的真实系统的开始菜单按钮它就是不会到处飞
在其他电脑上飞的可愉快了~真郁闷
说明:以下内容为建立在本人对程序的监控以及资源检索基础之上的,如果有遗漏或者错误的地方请尽管提出来.同时本人解决方案也基于此提出.由于没有原始病毒样本,所以无法彻底测试.如果发现有杀不干净的情况,请即时提醒我并还请附上原始病毒样本.
感染途径:通过MP3/U盘等的自动运行功能传播(AutoRun.inf).程序本身使用VB编写.
感染机理:病毒一旦开始运行,既会生成一六字符长度随机文件名,并以此为名将自己复制到 %systemroot%/system32/ 下,修改HKCR中的Load以及HKLM中的Run注册表项来实现自动运行,并且运行时会自动禁止注册表编辑器以及任务管理器.由于此时大多会使用命令行模式,所以病毒同样修改了CMD的启动初始化程序(AutoRun),达到自身启动的目的.
同时,程序会不断监控可移动设备以伺机感染可移动设备并进行感染.
杀除病毒:鉴于病毒感染机理较为复杂,故在此提供一个原创的VBS脚本以供杀毒.为了方便使用,将脚本以及启动环境封装为EXE格式(RAR可执行压缩包),双击即可执行.
程序执行后会有如下动作:
1.扫描内存,删除所有可疑进程 (文件大小为 61440 字节);
2.扫描注册表,将程序所有留下来的自启动键值全部干掉;
3.恢复系统默认设置,启用注册表编辑器以及任务管理器.
下载杀软:UploadFiles/2006-9/930814753.rar
by 随风飘扬 [E-mail:nicch@ah163.com,QQ:286495995]
------------------------------------------------------------------------------------------------------------
话前: 其实这个病毒满好玩的,开始菜单满天飞.
于是捞来一个病毒副本进行研究,可惜的是不管寡人如何精心调教
它发作后不管是虚拟机还是我的真实系统的开始菜单按钮它就是不会到处飞
在其他电脑上飞的可愉快了~真郁闷
说明:以下内容为建立在本人对程序的监控以及资源检索基础之上的,如果有遗漏或者错误的地方请尽管提出来.同时本人解决方案也基于此提出.由于没有原始病毒样本,所以无法彻底测试.如果发现有杀不干净的情况,请即时提醒我并还请附上原始病毒样本.
感染途径:通过MP3/U盘等的自动运行功能传播(AutoRun.inf).程序本身使用VB编写.
感染机理:病毒一旦开始运行,既会生成一六字符长度随机文件名,并以此为名将自己复制到 %systemroot%/system32/ 下,修改HKCR中的Load以及HKLM中的Run注册表项来实现自动运行,并且运行时会自动禁止注册表编辑器以及任务管理器.由于此时大多会使用命令行模式,所以病毒同样修改了CMD的启动初始化程序(AutoRun),达到自身启动的目的.
同时,程序会不断监控可移动设备以伺机感染可移动设备并进行感染.
杀除病毒:鉴于病毒感染机理较为复杂,故在此提供一个原创的VBS脚本以供杀毒.为了方便使用,将脚本以及启动环境封装为EXE格式(RAR可执行压缩包),双击即可执行.
程序执行后会有如下动作:
1.扫描内存,删除所有可疑进程 (文件大小为 61440 字节);
2.扫描注册表,将程序所有留下来的自启动键值全部干掉;
3.恢复系统默认设置,启用注册表编辑器以及任务管理器.
下载杀软:UploadFiles/2006-9/930814753.rar