与SysAnti.exe斗法

样本来源:http://bbs.ikaka.com/showtopic-8633052.aspx

样本提供者说此毒感染文件。但我玩儿它时未见其感染文件行为。


SysAnti.exe文件大小:56.5K

MD5值:9F2F0D0D71E0BB6780CB9B4B898106CE

运行后:
1、开启IE,下载病毒。病毒文件类型有:.exe、.dll、.fon、.ttf、.dat、.tmp。

2、替换系统程序comres.dll、verclsid.exe。
3、监视Autoruns.exe、IceSword.exe进程,发现即结束之。还监视含IceSword字样的目录,发现用户打开这样的目录即刻关闭。
4、利用系统程序userinit.exe搞鬼(不要删除这个userinit.exe哦。结束其进程即可。)
不过,它还是被俺玩儿了。
玩儿它,还是用“按中毒日期搜索+NTFS权限”法。很俗的方法,用起来都有点不好意思了。斗了两个回合,俺的IceSword就运行起来了

宰之!!









以下几个病毒程序用IceSword强制删除。至于被病毒替换过的系统程序comres.dll、verclsid.exe,删除后,再从dllcache目录下拷回system32目录即可。






用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-06-18 08:19:57