瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 “1KB文件夹快捷方式”病毒中毒后的处理

1234   1  /  4  页   跳转

[原创] “1KB文件夹快捷方式”病毒中毒后的处理

“1KB文件夹快捷方式”病毒中毒后的处理

手工杀毒流程参考7楼内容

此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。

这是个.vbs+数据流双料病毒(病毒的数据流部分只在NTFS分区有效,详见7楼图)。


此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。




此毒还有一个特点:如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe(实为系统程序wscript.exe)、删除了被病毒改写过的系统程序smss.exe(用备份替换)、删除了病毒创建的所有.lnk,当你双击“我的电脑”时,病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行,则双击我的电脑后系统报错,自然不能通过正常途径打开各个分区及各级目录。

用Tiny,将wscript.exe由信任组转入特殊组,设置文件访问及注册表访问规则,禁止非信任组程序的文件创建及注册表改写动作,然后,再双击“我的电脑”,此毒不能复活,且“我的电脑”以及各级目录可以顺利打开。




用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
本帖被评分 3 次
最后编辑baohe 最后编辑于 2009-09-15 16:20:10
分享到:
gototop
 

回复: 不是办法的办法——谈一个可变身的脚本病毒.vbs中毒后的处理



引用:
原帖由 天月来了 于 2009-9-14 17:50:00 发表
病毒改写系统程序smss.exe

真的假的???  


我猜测是通过“数据流”搞鬼。

改写前后smss.exe的MD5并无变化。


改写前的





改写后的

gototop
 

回复: 不是办法的办法——谈一个可变身的脚本病毒.vbs中毒后的处理



引用:
原帖由 天月来了 于 2009-9-14 17:53:00 发表
难怪在fat系统内,没见过什么修改  



这是它的加载项:


gototop
 

回复: 不是办法的办法——谈一个可变身的脚本病毒.vbs中毒后的处理



引用:
原帖由 天月来了 于 2009-9-14 17:58:00 发表
我一直不明白它那项目的涉及smss.exe是什么意思

  


通过不同数据格式分区间的文件移动证实:此毒确实是”数据流“病毒:



因此,手工彻底杀灭此毒的流程应该是:

1、先打开C:\windows\system32\和C:\windows\system32\dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windows\system\svchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区(自动脱毒)。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe(被病毒附加了数据流)。
7、取消”禁止进程创建“。将刚才移动到FAT32分区(或U盘)的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表,显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项:
展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除load键值项的数据。
最后编辑baohe 最后编辑于 2009-09-15 20:46:22
gototop
 

回复: “1KB文件夹快捷方式”病毒中毒后的处理

ntfs下的数据流的清除,此工具比较简单

扫描扫描,删除删除即可,不需要将文件复制来复制去的。

http://bbs.ikaka.com/showtopic-8559419.aspx

就是HijackThis工具了

最后编辑天月来了 最后编辑于 2009-09-16 08:22:50
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 7F xiewei2347 的帖子

看这贴尝试清理和恢复吧
http://bbs.ikaka.com/showtopic-8665656.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:“1KB文件夹快捷方式”病毒中毒后的处理

弄好了啊。到现在为止还看出复发。

天月姐。当时我就找到楼主的帖子。你的帖子好像还没出来。

今天我还悔恨自己在等等。用你那个专杀。多省事。哈哈哈。

另外,楼主是业内人士,自然讲的通畅,但是我只有基础知识,所以着实费了劲了。
最后编辑xuyujian123 最后编辑于 2009-09-20 22:46:58
gototop
 

回复: “1KB文件夹快捷方式”病毒中毒后的处理



引用:
原帖由 baohe 于 2009-9-14 17:52:00 发表


引用:
原帖由 天月来了 于 2009-9-14 17:50:00 发表
病毒改写系统程序smss.exe

真的假的??? 


我猜测是通过“数据流”搞鬼。

改写前后smss.exe的MD5并无变化。


改写前的







不过从修改日期上来看,的确是能看出来做了修改。这毒没一定经验,不好处理。晕死。
gototop
 

回复:“1KB文件夹快捷方式”病毒中毒后的处理

学习了,没想到,今天遇上了..

有猫叔和天月,这变态的病毒就好容易理解了..
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 

回复:“1KB文件夹快捷方式”病毒中毒后的处理

baohe总版主你好,我想问下,

《〈〈〈2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windows\system\svchost.exe进程。〉〉〉》

这句话中如果不用IceSword禁止进程创建,而是纯手动禁止进程怎么办呢?该如何操作呢?

第一次发帖问问题,不知道有没有表达清楚,不好意思
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT