1   1  /  1  页   跳转

[原创] 关于MDF病毒以及清除注意事项

关于MDF病毒以及清除注意事项

这个病毒在我的XPSP3系统中运行有障碍,尽管运行病毒前关闭了所有安全软件。但cmd运行这个P时系统还是有报错。



报错具体信息如下图:




本帖说的是这个样本(MD5键见下图)



尽管如此,通过实机运行观察此样本,还是发现了这个病毒的软肋————手工杀毒前务必先断开网络;然后用组策略中的软件限制规则(散列规则)禁止下列病毒程序运行:



重起后用IceSword强制删除windows目录中的两个文件(此毒之所以难杀,关键在这两个病毒程序,见下图):




其余的病毒文件可以直接手动删除:




剩下的就是恢复被病毒删除的注册表键/删除病毒添加的注册表键(见第一个图)。

病毒运行以及后续系统及应用程序的.exe运行中一直未见.mdf文件生成。

补充:经过分析该病毒会感染exe文件
感染方式:病毒会把被感染文件的前8000h拷贝出来(加密,有的变种不加密)然后写入一个扩展名为.mdf的文件中(文件名和被感染文件一样)
在被感染的样本中还有对应的还原文件代码,用的是上述操作的逆操作,大致流程是这样的:首先把自身拷贝成.lnk文件(文件名和被感染文件一样),然后从同目录中读取相同文件名且扩展名为.mdf的文件(也就是原文件的前8000h数据),经过解密(有的变种不用解密),再把这些数据贴到.lnk文件的前8000h,至此.lnk文件就是已经恢复好的原文件了。

瑞星杀毒软件对于此病毒的修复也类似于病毒的修复
先遍历同目录下同文件名的.mdf文件,然后根据变种的不同对文件进行解密,再把解密后的数据贴回到原文件中。
因此中了此毒的朋友 一定不要删除.mdf文件 否则修复会失败!切记!


用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑newcenturymoon 最后编辑于 2009-09-17 20:51:10
分享到:
gototop
 

回复: 关于MDF病毒



引用:
原帖由 浪漫纸箱 于 2009-9-11 21:23:00 发表
弱弱的问一下,那txt格式的也是病毒本体?可感染或是重新写入?


此.txt加密了。
直接查看其内容——————如同天书:


gototop
 

回复: 关于MDF病毒



引用:
原帖由 aaccbbdd 于 2009-9-11 21:16:00 发表
感染型?


网上很多人说它是感染型病毒。

但前提是有MDF释放成功吧。
我运行此毒,从头到尾均无MDF释放,手工干掉病毒文件后,本机中所有的.exe均无问题。
原因吗,我猜测可能是那个P处理未能成功运行。
最后编辑baohe 最后编辑于 2009-09-11 21:46:40
gototop
 

回复:关于MDF病毒

Tiny程序分组并按组设置防护规则的条件下,可禁止除了trusted组以外的任何程序加载下列三个DLL:
winrnr.dll

wshtcpip.dll

hnetcfg.dll

这个病毒及染毒文件丧失感染能力。系统及应用软件的功能不受影响。
最后编辑baohe 最后编辑于 2009-09-12 15:26:42
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT