晚上使用U盘,打开后发现异常情况,如图:
看到了吧,没错,基本可以确定是中病毒了。我尝试打开一个文件,安静了半月有余的瑞星报警:
这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我就看看吧。
百度了下“Trojan.Win32.Generic.11EBD5EC”,看到深受其害的人不少。好了,开始旅程!
取消隐藏文件的属性,看,
看起来正常的文件并不是被感染,只是被隐藏了,我们看到.exe应该是个拷贝或者只是个“快捷方式”。接下来的分析证明了我的猜测。
EXE文件的属性:
看到了吧,只有1.15M,似乎没有这么小的电影吧?
正常文件的属性:
这下对了,看了那个.exe程序或许只是“快捷方式”。
OK,根据杀毒软件的提示,定位的病毒体:
文件信息:
名称:jwgkvsq.vmx
MD5: BE4097D198946861C9C34C8D280D6056
分析过程:
先使用IDA静态的分析下,结果IDA报错,大致意思是文件被加壳。???完了,如果真是这样,脱壳实在不是我的强项。打开PEID,扫描后得到如下信息:
果然,使用ACProtect加壳,百度了下,似乎是个强壳(脱壳实在不是我的强项
)到看雪论坛求助高人指点,略过不提。
接下来,运行下打开下病毒文件,看她会做些什么。既然是分析她,肯定少不了对文件行为的监控,我依赖的是SSM。使用UE打开文件jwgkvsq.vmx,瑞星马上报警:
没等我点允许运行,在我思索的瞬间,瑞星尽职尽责的拒绝了。关闭瑞星!再次打开,这下轮到SSM上场,几番“允许”后,出现这样一个信息:
注意看,当我们打开感染了病毒的文件夹,在后台是会运行8E45B9.EXE这个文件的。当然,如果你没有使用文件监控工具,应该是看不到的。不过想明白为什么这个病毒文件的隐藏手法这么“粗糙”,打开任务管理器居然可以清楚的看到进程8E45B9.EXE,要知道隐藏进程的技术文章比草原上的草都多啊~
这里有个细节需要注意,8E45B9.EXE似乎是随机的名字,因为我在另一台电脑上打开染毒文件夹时运行的文件是23AF87.exe。
当然,病毒肯定也进行了注册表的操作,只是我没有跟进。似乎病毒的行为也就这些了,接下来该清除她了。
清除步骤:
1.注册表搜索。
备 份好注册表,以“jwgkvsq、8E45B9.exe”为关键字进行查找(8E45B9.EXE是我本机生成的名字),找到后删除。强调一下,注册表操 作很危险,一定要事前备份。(在我搜索8E45B9.exe时,发现注册表中根本没有这个文件,或许这只是jwgkvsq.vmx运行时,出现在任务管理 中的随机名字吧,结束进程应该就删除了自身)
2.删除病毒文件。
当然还是以“jwgkvsq、8E45B9.exe”为关键字,搜索全盘,找到后删除。取消被病毒隐藏的文件夹的“隐藏”属性。
3.清空临时文件夹。
4.升级杀毒软件病毒库,全盘扫描,确认没有病毒。
总的来说,手杀的过程是我遇到的比较容易的一个病毒,这里没什么技术含量,只是提供一种思路。
################## 补充内容 ########################
昨天忽略了一件事情---取消启动项。今早开机发现任务管理器出现了8E45B9.EXE,打开启动项:
之后再SYSTEM32目录找到四个恶意程序:
说明一下,那个8E45B9.EXE文件也是一个文件夹图标的程序,我会在稍后尽快的补充上对这四个恶意文件的分析。
################## 补充内容 ########################
看到了吧,没错,基本可以确定是中病毒了。我尝试打开一个文件,安静了半月有余的瑞星报警:
这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我就看看吧。
百度了下“Trojan.Win32.Generic.11EBD5EC”,看到深受其害的人不少。好了,开始旅程!
取消隐藏文件的属性,看,
看起来正常的文件并不是被感染,只是被隐藏了,我们看到.exe应该是个拷贝或者只是个“快捷方式”。接下来的分析证明了我的猜测。
EXE文件的属性:
看到了吧,只有1.15M,似乎没有这么小的电影吧?
正常文件的属性:
这下对了,看了那个.exe程序或许只是“快捷方式”。
OK,根据杀毒软件的提示,定位的病毒体:
文件信息:
名称:jwgkvsq.vmx
MD5: BE4097D198946861C9C34C8D280D6056
分析过程:
先使用IDA静态的分析下,结果IDA报错,大致意思是文件被加壳。???完了,如果真是这样,脱壳实在不是我的强项。打开PEID,扫描后得到如下信息:
果然,使用ACProtect加壳,百度了下,似乎是个强壳(脱壳实在不是我的强项
)到看雪论坛求助高人指点,略过不提。
接下来,运行下打开下病毒文件,看她会做些什么。既然是分析她,肯定少不了对文件行为的监控,我依赖的是SSM。使用UE打开文件jwgkvsq.vmx,瑞星马上报警:
没等我点允许运行,在我思索的瞬间,瑞星尽职尽责的拒绝了。关闭瑞星!再次打开,这下轮到SSM上场,几番“允许”后,出现这样一个信息:
注意看,当我们打开感染了病毒的文件夹,在后台是会运行8E45B9.EXE这个文件的。当然,如果你没有使用文件监控工具,应该是看不到的。不过想明白为什么这个病毒文件的隐藏手法这么“粗糙”,打开任务管理器居然可以清楚的看到进程8E45B9.EXE
,要知道隐藏进程的技术文章比草原上的草都多啊~
这里有个细节需要注意,8E45B9.EXE似乎是随机的名字,因为我在另一台电脑上打开染毒文件夹时运行的文件是23AF87.exe。
当然,病毒肯定也进行了注册表的操作,只是我没有跟进。似乎病毒的行为也就这些了,接下来该清除她了。
清除步骤:
1.注册表搜索。
备 份好注册表,以“jwgkvsq、8E45B9.exe”为关键字进行查找(8E45B9.EXE是我本机生成的名字),找到后删除。强调一下,注册表操 作很危险,一定要事前备份。(在我搜索8E45B9.exe时,发现注册表中根本没有这个文件,或许这只是jwgkvsq.vmx运行时,出现在任务管理 中的随机名字吧,结束进程应该就删除了自身)
2.删除病毒文件。
当然还是以“jwgkvsq、8E45B9.exe”为关键字,搜索全盘,找到后删除。取消被病毒隐藏的文件夹的“隐藏”属性。
3.清空临时文件夹。
4.升级杀毒软件病毒库,全盘扫描,确认没有病毒。
总的来说,手杀的过程是我遇到的比较容易的一个病毒,这里没什么技术含量,只是提供一种思路。
################## 补充内容 ########################
昨天忽略了一件事情---取消启动项。今早开机发现任务管理器出现了8E45B9.EXE,打开启动项:
之后再SYSTEM32目录找到四个恶意程序:
说明一下,那个8E45B9.EXE文件也是一个文件夹图标的程序,我会在稍后尽快的补充上对这四个恶意文件的分析。
################## 补充内容 ########################
转载于:https://blog.51cto.com/virussafe/283586
扫一扫
3711
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
