看到了吧,沒錯,基本可以確定是中病毒了。我嘗試打開一個文件,安靜了半月有餘的瑞星報警:
這下把我樂壞了,很久沒有遇到自己電腦中病毒了,既然今天你撞上來了,那我就看看吧。
百度了下“Trojan.Win32.Generic.11EBD5EC”,看到深受其害的人不少。好了,開始旅程!
取消隱藏文件的屬性,看,
看起來正常的文件並不是被感染,只是被隱藏了,我們看到.exe應該是個拷貝或者只是個“快捷方式”。接下來的分析證明了我的猜測。
EXE文件的屬性:
看到了吧,只有1.15M,似乎沒有這麼小的電影吧?
正常文件的屬性:
這下對了,看了那個.exe程序或許只是“快捷方式”。
OK,根據殺毒軟件的提示,定位的病毒體:
文件信息:
名稱:jwgkvsq.vmx
MD5: BE4097D198946861C9C34C8D280D6056
分析過程:
先使用IDA靜態的分析下,結果IDA報錯,大致意思是文件被加殼。???完了,如果真是這樣,脫殼實在不是我的強項。打開PEID,掃描後得到如下信息:
果然,使用ACProtect加殼,百度了下,似乎是個強殼(脫殼實在不是我的強項
)到看雪論壇求助高人指點,略過不提。接下來,運行下打開下病毒文件,看她會做些什麼。既然是分析她,肯定少不了對文件行爲的監控,我依賴的是SSM。使用UE打開文件jwgkvsq.vmx,瑞星馬上報警:
沒等我點允許運行,在我思索的瞬間,瑞星盡職盡責的拒絕了。關閉瑞星!再次打開,這下輪到SSM上場,幾番“允許”後,出現這樣一個信息:
注意看,當我們打開感染了病毒的文件夾,在後臺是會運行8E45B9.EXE這個文件的。當然,如果你沒有使用文件監控工具,應該是看不到的。不過想明白爲什麼這個病毒文件的隱藏手法這麼“粗糙”,打開任務管理器居然可以清楚的看到進程8E45B9.EXE
,要知道隱藏進程的技術文章比草原上的草都多啊~這裏有個細節需要注意,8E45B9.EXE似乎是隨機的名字,因爲我在另一臺電腦上打開染毒文件夾時運行的文件是23AF87.exe。
當然,病毒肯定也進行了註冊表的操作,只是我沒有跟進。似乎病毒的行爲也就這些了,接下來該清除她了。
清除步驟:
1.註冊表搜索。
備 份好註冊表,以“jwgkvsq、8E45B9.exe”爲關鍵字進行查找(8E45B9.EXE是我本機生成的名字),找到後刪除。強調一下,註冊表操 作很危險,一定要事前備份。(在我搜索8E45B9.exe時,發現註冊表中根本沒有這個文件,或許這只是jwgkvsq.vmx運行時,出現在任務管理 中的隨機名字吧,結束進程應該就刪除了自身)
2.刪除病毒文件。
當然還是以“jwgkvsq、8E45B9.exe”爲關鍵字,搜索全盤,找到後刪除。取消被病毒隱藏的文件夾的“隱藏”屬性。
3.清空臨時文件夾。
4.升級殺毒軟件病毒庫,全盤掃描,確認沒有病毒。
總的來說,手殺的過程是我遇到的比較容易的一個病毒,這裏沒什麼技術含量,只是提供一種思路。
################## 補充內容 ########################
昨天忽略了一件事情---取消啓動項。今早開機發現任務管理器出現了8E45B9.EXE,打開啓動項:
之後再SYSTEM32目錄找到四個惡意程序:
說明一下,那個8E45B9.EXE文件也是一個文件夾圖標的程序,我會在稍後儘快的補充上對這四個惡意文件的分析。
################## 補充內容 ########################