baohe - 2011-5-21 17:53:00
其实,这个病毒并非新毒。写这个帖子的目的是:给手杀爱好者提供一个思路,通过真刀真枪的操作,长点儿本事。
我是在“爱毒霸社区”见到一个求助帖(http://bbs.duba.net/thread-22450804-1-1.html),才知道有这块料。
那个帖子2011-5-11就挂在那里,我也曾下载过他提供的样本,但解压时总报包已损坏。
今天,回去再次浏览那帖,才发现那哥们儿说:那样本本来就是.exe(而非压缩包),他只是将.exe后缀改为.7z,就传上来了。汗!
下载之。将后缀改为.exe。
1、病毒是这个样子,还有伪造的数字签名(但伪造的不好)。汗!
2、真正的mseinstall.exe的数字签名是这样子的:
运行这个样本,观察其行为,寻找比较原始的手杀方法。原始方法的好处在于:不借助特殊工具;缺点在于:操作稍嫌复杂。
其实此毒并不隐蔽。用SRENG这样的老工具就能发现其驱动项。中此毒后,之所以难搞掂,是因为病毒程序MSAPI.DAT插入了wininit.exe进程(SRENG也能发现)。若强制卸除wininit.exe进程中的病毒模块MSAPI.DAT,系统崩溃,蓝屏重启(我在WINDOWS 7 下观察到的病毒行为如此)。
灭这个病毒,还用不着动用XUE.TR。杀鸡焉用宰牛刀?咱连SRENG都不用,就用系统自带的工具灭它。
3、既然卸载病毒模块不灵,那咱就换个思路————针对病毒的服务项,在注册表权限上做点儿手脚,看看效果如何:
4、这毒果然比较俗(它不监控自己的服务项):
5、既然如此,咱就钻它这个空子————篡改其服务项后,用注册表权限将这个病毒服务项封死!
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.11
附件: 03.PNG
我是在“爱毒霸社区”见到一个求助帖(http://bbs.duba.net/thread-22450804-1-1.html),才知道有这块料。
那个帖子2011-5-11就挂在那里,我也曾下载过他提供的样本,但解压时总报包已损坏。
今天,回去再次浏览那帖,才发现那哥们儿说:那样本本来就是.exe(而非压缩包),他只是将.exe后缀改为.7z,就传上来了。汗!
下载之。将后缀改为.exe。
1、病毒是这个样子,还有伪造的数字签名(但伪造的不好)。汗!
2、真正的mseinstall.exe的数字签名是这样子的:
运行这个样本,观察其行为,寻找比较原始的手杀方法。原始方法的好处在于:不借助特殊工具;缺点在于:操作稍嫌复杂。
其实此毒并不隐蔽。用SRENG这样的老工具就能发现其驱动项。中此毒后,之所以难搞掂,是因为病毒程序MSAPI.DAT插入了wininit.exe进程(SRENG也能发现)。若强制卸除wininit.exe进程中的病毒模块MSAPI.DAT,系统崩溃,蓝屏重启(我在WINDOWS 7 下观察到的病毒行为如此)。
灭这个病毒,还用不着动用XUE.TR。杀鸡焉用宰牛刀?咱连SRENG都不用,就用系统自带的工具灭它。
3、既然卸载病毒模块不灵,那咱就换个思路————针对病毒的服务项,在注册表权限上做点儿手脚,看看效果如何:
4、这毒果然比较俗(它不监控自己的服务项):
5、既然如此,咱就钻它这个空子————篡改其服务项后,用注册表权限将这个病毒服务项封死!
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.11
附件: 03.PNG