天云一剑 - 2008-7-20 15:06:00
其实这个病毒也很老了,无服务无驱动,只是不大好彻底清除(学生在清除病毒时,发现JDK目录和MSOcache目录无法使用专杀清理,费解ING。。。。)首先使用PEID检查病毒感染文件,发现多了一个节,节名随机器生成,这部分是病毒INJECT的打开OD,看了看,病毒调用的API包括:GetMouduleFileNameARegOpenkeyExARegQueryValueExACreatFileA,ReadFileWriteFileGetTempFileName这样我们大概知道病毒会做些什么:打开修改注册表,创建文件,读取文件,写文件病毒访问注册表中的:HKEY_CURRENT_USER\Softare\Microsoft\Windows\CurrentVersion\Explorer-PINF这里存放的是病毒导出的DLL(型如一个CLASS ID,如: {1C954872-1230-6541-9548-6541025884C1} )如果此键值存在,就加载调用DLL中的函数,如果不存在,就新建键值和文件从感染的文件末尾每次读入10240(0x2800)字节,然后解码写入创建的临时文件,病毒写入的TMP文件实际上就是一个DLL(动态链接库)文件然后加载DLL文件,调用DLL中的函数,用来实现感染文件感染的过程就是给文件增加一个节,然后写入编码后的病毒代码,再把DLL编码写入被感染文件末尾如此这般,子子孙孙无穷匮也。。。。感染了此病毒,在它还没完全攻占你的硬盘前,使用专杀吧就算完全感染了,请参考下面的帖子来处理:http://bbs.ikaka.com/showtopic-8525434.aspx学生还有一点不太明白,就是为什么查看文件修改日期发现不了任何被感染的痕迹呢?只有被替换才能发现吗?用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)
li8heng8qi - 2008-7-22 13:39:00
据我猜测应该是在系统基层更改的吧!
© 2000 - 2026 Rising Corp. Ltd.