回复:这个.lnk病毒的感染不可修复么???
该病毒的还原是这样的
先把自身拷贝为xx.exe.lnk(假设原先的文件名为xx.exe)
从xx.exe.lnk的尾部取出0x8000字节数据 然后和一个加密表异或解密
解密出来的数据是原文件的前0x8000字节数据 然后贴回到xx.exe.lnk文件中 这样xx.exe.lnk理应就是被修复的样本了 然后病毒会启动这个xx.exe.lnk也就是被修复的源文件
但这些样本都被反复感染了 最后0x8000个字节解密出来的数据 和被感染样本头部依然一样 无法找到最原始的数据了 所以你看到的是xx.exe运行后恢复成了xx.exe.lnk 由于xx.exe.lnk还是病毒 所以他会继续调用修复函数继续恢复 进而生成xx.exe.lnk.lnk 依次类推...
所以如果这个样本跑起来后 无限生成.lnk.lnk.lnk这样的文件 就肯定无法修复了
