1   1  /  1  页   跳转

[原创] 关于覆盖型感染病毒2TG6PPHDZ6.exe

关于覆盖型感染病毒2TG6PPHDZ6.exe

这是求助者发上来的病毒样本:http://bbs.ikaka.com/showtopic-8629745.aspx
病毒文件名为随机字母。
此毒为覆盖型感染病毒。他上传附件中的两个程序实为同一个病毒。



运行后此毒除在WINDOWS目录下释放两个随机字母命名的相同的病毒程序外,还用同样的病毒程序覆盖Program Files目录下的所有.exe程序文件。中了此毒,所有应用程序恐怕要重装了。否则,要么是病毒永远杀不干净,要么你就别再用那些应用程序。(此外,IE临时文件夹中还有大量病毒程序)




注册表也改的乱七八糟
[


我这儿省事,点击一下Revert Changes,完事


这就是被病毒覆盖后经Revert Changes处理还原的acrobat.exe





此毒可用组策略中的“软件限制策略”散列规则预防(设置一条散列规则即可。图1的散列规则是为对比两个病毒文件是否相同所设)




用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-06-04 20:02:09
分享到:
gototop
 

回复: 关于覆盖型感染病毒2TG6PPHDZ6.exe



引用:
原帖由 happysunday2003 于 2009-6-4 20:14:00 发表
Revert Changes???


Tiny,以追踪方式运行的程序,理论上都可以“倒拨时钟”(俗称“吃后悔药”)。
当然,这种倒拨时钟有时也有失败的情形。原因:有可能是没结束所有病毒进程,也有可能是病毒的部分动作绕过了Tiny的Tracking。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT