| 引用: |
【baohe的贴子】
近来,各种夹带Rookit的病毒比较流行,且较难查杀。
拿到网友提供的一个样本,观察了一下此毒感染系统后的种种表现。现归纳如下,供大家杀毒时参考:
————————————————
0、这个样本感染系统后,在%system%文件夹中创建citteo.exe和msdirectx.sys两个病毒文件。
1、感染系统后,你运行什么程序,Rootkit就插入相应的进程(图1,红色字符显示的进程除citteo为病毒进程外,其它为rootkit插入的应用程序进程)。
2、另一个比较麻烦的问题:Rootkit是其它病毒/木马夹带的一个隐身工具。夹带Rootkit的病毒/木马进程名是随即生成的,每感染系统一次,病毒进程名都会变化(图2)。如果没有IceSword这样的工具,较难辨认那个是病毒进程。
3、Rootkit感染系统后,即使你运行IceSwoed,IceSword也会被Rootkit插入(图3)。
4、用IceSword的“重启并监视”功能发现:重启过程中,Rootkit插入winlogon进程(图4)。
5、重启系统后,又多了一样麻烦:病毒又在当前用户文件夹中加入了一个Rootkit(图5)。
6、越搞越乱!还是到安全模式下试试用KillBox解决问题吧(图6)。
7、用KillBox删除病毒文件citteo.exe后,重启到WINDOWS模式,用IceSword删除残余的那两个Rootkit(%system%中一个,当前用户文件夹中一个)。
8、清理注册表:
定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除注册表项:msdirectx;
定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
将"Userinit"="userinit.exe,citteo.exe"改为"Userinit"="userinit.exe"。搞定!
______________________
图1
........................... |
学习了,最近一直不知道这个病毒那么厉害,
不知道这个病毒是利用什么漏洞来感染电脑的,可否告知,还有这个病毒的特性等等,
看楼主用的工具都是用C++做的吧,虽然最近的努力让自己有少许进步,不过还是有很大不足,今后做软件一定要注意代码,不给那些恶意之徒留任何机会
