瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛菜鸟学堂 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

1   1  /  1  页   跳转

[分享] 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

1、此受感染程序不具备感染其它程序的能力。程序运行后,系统正常的资源管理器explorer.exe被改名为loader.exe,并存放到当前用户临时文件夹中。原windows目录及dllcache目录下的explorer.exe被病毒替换。除此之外,被病毒感染过的Slp3.exe运行后再无其它动作。下图是系统正常程序explorer.exe的MD5:







2、原windows目录及dllcache目录下的explorer.exe被病毒替换了。比较这三个程序的MD5即可判明:





3、开始用IceSword进行手工杀毒。先禁止进程创建:





4、结束explorer.exe进程:





5、删除dllcache目录下的explorer.exe:





6、删除windows目录下的explorer.exe:





7、将当前用户临时目录下的loader.exe拷贝到windows目录下:





8、拷贝loader.exe到windows目录时,文件名取为explorer.exe:





9、取消IceSword的“禁止进程创建”:




10、按CTRL_ALT_DEL三键,调出任务管理器。重新开启explorer.exe进程。





用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
本帖被评分 1 次
最后编辑baohe 最后编辑于 2010-04-03 17:25:18
分享到:
gototop
 

回复:被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

看了半天,没发现一个人回帖。难道菜鸟都已经成长老鸟了么?看来我又落后了……

我是菜鸟,问问题:

1、不知道猫叔怎么发现explorer.exe被挪到系统临时文件目录中去的?难道是全C盘搜索MD5?

2、猫叔所发属性图,是用啥软件实现查看“文件校验”标签的?
打酱油的……
gototop
 

回复: 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒



引用:
原帖由 超级游戏迷 于 2010-4-3 19:39:00 发表
看了半天,没发现一个人回帖。难道菜鸟都已经成长老鸟了么?看来我又落后了……

我是菜鸟,问问题:

1、不知道猫叔怎么发现explorer.exe被挪到系统临时文件目录中去的?难道是全C盘搜索MD5?

2、猫叔所发属性图,是用啥软件实现查看“文件校验”标签的?



1、用Tiny追踪回滚模式监测病毒行为。
2、我的XP系统,不用其它工具,右键查看文件“属性”,即刻看到其MD5 。(不用工具的话,并非所有文件都能看到MD5。)
gototop
 

回复 2F 超级游戏迷 的帖子

Hashtab有这效果....
PS:终于能上网了呢
gototop
 

回复 5F backway 的帖子

呼呼,等网络管制解禁后,俺也去找一下这个hashtab……

目前还处在被管制状态,只能上新疆网和少数门户网站,搜索引擎网站、QQ和国外网站……不知道啥时候才能通……
打酱油的……
gototop
 

回复: 被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒我



引用:
原帖由 超级游戏迷 于 2010-4-7 0:11:00 发表
呼呼,等网络管制解禁后,俺也去找一下这个hashtab……

目前还处在被管制状态,只能上新疆网和少数门户网站,搜索引擎网站、QQ和国外网站……不知道啥时候才能通…… 



我把Hashtab上传了,应该能下载吧。





引用:
MD5 hashes:                  HashTab Setup.exe:                  5845F52D425C75E232B1AD5EE3B189A8 (windows)


PS:把我上面重复的帖子删除吧,网速慢,回帖不容易......

附件附件:

下载次数:799
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-7 8:57:28
描述:zip

本帖被评分 2 次
最后编辑backway 最后编辑于 2010-04-07 09:01:17
gototop
 

回复:被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

我也见过这个情况,我现在的电脑上就有这个校验选项卡,不知道是微软带的还是什么原因,貌似雨林木风的系统上有这个东西。
gototop
 

回复:被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

猫叔TINY的追踪回滚模式是不是就是追踪的那个模式,我英文不咋滴好,现在也正在用TINY,呵呵,不过没敢在物理机上用,先开始熟悉下在用
gototop
 

回复:被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

被替换的explorer.exe都改了什么呢?
gototop
 

回复:被病毒感染过的Slp3.exe实机运行后的分析与手工杀毒

很菜的问一下TINY是什么来的?工具吗?
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT