為了了解目前流行木馬病毒的發展前沿科技,俺也來了個裸機上網。不出三天,機子就感染了n多病毒。這些病毒幾乎全部是通過網頁木馬的方法,侵入到我的
系統
。一下子,讓俺的愛機變得不堪重負,不得不處理下了。
因所得病毒過多,只選了幾個比較有特點的病毒來講解下。所謂有特點,即能逃過一般防毒
軟體
的查殺,檔案在windows模式下,甚至安全模式下都不可刪除,載入方式隱蔽性高。即使多次處理,病毒也能頑強抵抗到最後一秒。我所選取的兩款病毒,就有以上這幾個特點。
病毒1.lfrmewrk.exe
該病毒是典型的後門程式,中毒後會時不時彈出網頁。中止程序後又會重新啟動,刪除檔案又會重新出現,非常頑固。更有usb8028x.sys,usb8028.sys兩個後台類驅動程式作後盾,也有hbcmd.dll動態庫檔案作支撐。強悍之極。lfrmewrk.exe是病毒的主程序。
該病毒以以下形式註冊為系統服務:
code:
[hkey_local_machine/system/controlset002/services/emonsrv]
"type"=dword:00000010
"start"=dword:00000004
"errorcontrol"=dword:00000001
"imagepath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,/
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,00,66,00,72,/
00,6d,00,65,00,77,00,72,00,6b,00,2e,00,65,00,78,00,65,00,00,00
(即://"imagepath"=c:/windows/system32/lfrmewrk.exe)
"displayname"="error monitor"
"objectname"="localsystem"服務名為:error monitor
服務還以特殊方式隱藏起來,使得你使用services.msc命令也看不見它.隱藏方式:
code:
[hkey_local_machine/system/controlset002/enum/root/legacy_emonsrv/0000]
"service"="emonsrv"
"legacy"=dword:00000001
"configflags"=dword:00000000
"class"="legacydriver"
"classguid"=""
"devicedesc"="error monitor"似乎這樣就你裝置驅動的形式被保護起來,就算你到安全模式下,也拿它沒折。
查詢串,得到
code:
[hkey_local_machine/system/controlset001/control/class/]
"class"="legacydriver"
@="非即插即用驅動程式"
"nodisplayclass"="1"
"silentinstall"="1"
"noinstallclass"="1"
"enumproppages32"="syssetup.dll,legacydriverproppageprovider"
"icon"="-19"果不其然,以驅動程式的形式將病毒保護起來了。
也有一款病毒名為d1ac1.exe或b8761.exe之類的。
註冊服務名:ms_2fax
機制和它完全一樣,可能是同一作者所為。而且兩者有共同作案的嫌疑。
病毒2.55550.dll.
把它作為病毒命名,是因為這個東西是
其它
code:
[hkey_classes_root/clsid//inprocserver32]
@="c://windows//system32//55550.dll"
"threadingmodel"="apartment"
[hkey_classes_root/clsid/]
"s***emodulename"="c://docume~1//sicent//locals~1//temp//3.exe"
"ssdllmodulename"="c://windows//system32//55550.dll"
"sssobjeventname"="zhghakuiqiqoszt_0"
[hkey_local_machine/software/classes/clsid//inprocserver32]
@="c://windows//system32//55550.dll"
"threadingmodel"="apartment"這恐怕又是病毒的一種新的載入方法。程序下不可見,服務裡也沒有記錄,隱蔽性也夠高的了。在正常模式和安全模式下,該檔案都不可刪,同時,相關的*door0.dll檔案也一併不可刪。
該病毒還在登錄檔鍵以下地方留下記錄:
code:
[hkey_local_machine/software/microsoft/windows/currentversion/explorer/shellexecutehooks]
""="hook is rising1"該鍵值可能是用來對付防毒軟體,可見保護機制夠全面的了。
清除以上註冊鍵表鍵,重起
計算機
,進入安全模式下,再次刪除以上dll病毒檔案。一次搞定。
看來,未來的木馬病毒,隱蔽性越來越高。不再是以前那種在啟動項,啟動資料夾或者明顯的服務程序裡載入了。它們開始把觸角伸進了系統底層。而且,絕大部分都會以釋放多個病毒體副本,隱藏成裝置驅動服務程序,以及在一些登錄檔特殊的地方註冊,以達到保護自身的目的。有些木馬病毒而是直接到防毒軟體作為其對手,要麼破壞之,要麼把它擋在門外,讓其無法正常安裝。未來的反木馬病毒之路,將更加具有挑戰性。
funny exe 木馬病毒的手動刪除方式
刪除方法 以系統目錄為c winnt為例 0 先copy c winnt system32 userinit.exe c winnt system32 userinit32.exe 進行檔案覆蓋。這一步開始沒有試過,但做一下沒壞處 1 必須啟動到安全模式下,最好是命令列下,但這時病毒可能仍然已經啟動...
木馬病毒外掛程式的5點思考。
分析木馬,病毒,主要是要分析出該exe的流程,一般通過網上找資料,ida逆向,主要通過分析出程序中的 收資訊的位址。驗證下檔案或exe是否是pe結構。分析盜號木馬或者病毒,一般可以通過木馬或病毒的接收伺服器已經本地儲存的進行入手分析整個的流程。盜號的一般都是用lsp注入方式 登錄檔注入 遠控木馬和最...
解讀木馬病毒的六種啟動方式
一 通過 開始 程式 啟動 隱蔽性 2星 應用程度 較低 這也是一種很常見的方式,很多正常的程式都用它,大家常 用的qq就是用這種方式實現自啟動的,但木馬卻很少用它。因為 啟動組的每人會會出現在 系統配置實用程式 msconfig.exe 以下簡稱msconfig 中。事實上,出現在 開始 選單的 ...