记录一下最近应急中遇见的病毒和木马(只记录大类中不起眼的一个、应急响应这个东西还是得多积累,考验综合能力。我还是一个没入门的孩子)
一、蠕虫病毒
该病毒被感染后会使该目录下的文件生成一个快捷方式,同时该病毒会创建进程,将文件进行隐藏。
病毒hash和md5
(7fb5916307ac9d61bac83b41ee8c095ea16e94d6
41307845354d8aed7b9c1dde4aaeb54d
)有兴趣的可以研究一下
利用hash定位样本
所做操作:
1、将快捷方式的文件恢复原状
2、显示隐藏文件,删除隐藏文件
3、杀掉进程
显示隐藏文件中运用了attrib命令,attrib命令的作用:显示、设置或删除指派给文件或目录的只读、存档、系统以及隐藏属性。如果在不含参数的情况下使用,则 attrib 命令会显示当前目录中所有文件的属性。其命令使用语法如下:
attrib [{+r | -r}] [{+a | -a}] [{+s | -s}] [{+h | -h}]
attrib [[Drive:][Path] FileName] [/s[/d]]
参数:
+r 设置只读文件属性。
-r 清除只读文件属性。
+a 设置存档属性。
-a 清除存