1   1  /  1  页   跳转

[原创] inst.exe的手工杀毒流程

inst.exe的手工杀毒流程

样本来源:http://bbs.ikaka.com/showtopic-8739071.aspx


这个病毒有假冒的数字签名(图1);其释放的病毒文件也有数字签名。但其数字签名是无效的。


此毒完整运行后插入系统进程winlogon.exe并动态插入用户运行的应用程序进程。因此,病毒文件不能用一般的简单删除搞掂。

当然,用IceSword可以直接强制删除此毒释放的病毒文件。

下面的操作,只是为了戏弄一下这个貌似很牛的病毒。此操作流程并非最简单的手工杀毒操作,这样做的目的是看看这个病毒的自我保护做得怎么样。

1、用记事本编辑一个文件(内容随便写),保存为c:\1.drv。保存在其它任何地方都行。保存为c:\1.drv只是为了操作方便。
2、打开IceSword,将这个c:\1.drv分别拷贝到下列病毒文件:
%windows%\system\MSAPI.DRV
%windows%\system\MSSETUP.TSK
%windows%\system\MSWINDOW.DRV
%windows%\system\WINDNSAPI.IME

具体操作参考图2-图3。



3、用IceSword强制删除%temp%目录下的病毒文件(见图4红框):



4、重启。删除%windows%\system\目录及%temp%目录下的病毒文件(图5):



5、删除病毒添加的服务项msSystem。

重启。检查一下%windows%\system\目录。病毒文件未再现。




以上手工杀毒操作结果证实:这个病毒的自我保护做得不够。至少没针对IceSword的文件拷贝采取措施。

用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.60
最后编辑baohe 最后编辑于 2010-07-25 14:56:22
分享到:
gototop
 

回复 2F 木马bbbb 的帖子

是的
gototop
 

回复: inst.exe的手工杀毒流程



引用:
原帖由 辛达星郁 于 2010-7-25 16:55:00 发表
将这个c:\1.drv分别拷贝到下列病毒文件所在文件夹下,是什么目的??


用自己瞎编的那个1.drv替换病毒文件。

戏弄这个病毒的办法有N种。

下图是略施小计后,将病毒文件一锅端的场景



一锅端之后,重启系统。核实“一锅端”的效果:



最后编辑baohe 最后编辑于 2010-07-25 17:19:22
gototop
 

回复:inst.exe的手工杀毒流程

还有更好的办法:手工收拾掉这个病毒后,让这个inst.exe无法运行。以免重复感染此毒(比如:那位求助者的境遇)。

办法也很简单

下图是“一锅端”之后,双击病毒程序inst.exe的结果:

最后编辑baohe 最后编辑于 2010-07-25 17:42:23
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT