磁碟机病毒(第三代)运行报告(附上病毒生成物)
病毒名称:avp.exe
文件大小:102,400 字节
MD5:D11B7943A70FC469A53B18C1
编写语言:VB
是否加壳:未
版本信息:{公司:2146、版本:1.0.0.0}
生成文件:%temp%\`xxxxxx.tmp(x为随机字母或数字组合)
运行痕迹:avp.exe运行后首先在temp文件夹生成文件`xxxxxx.tmp(x为随机字母或数字组合),生成avpkill.bat(其作用是删除病毒母体和由母体生成的`xxxxxx.tmp与自身),复制自身到%windir%重命名为cctv.exe并运行,cctv.exe运行后也会在temp文件夹生成`xxxxxx.tmp文件(这个文件与avp.exe生产的并不一样,MD5不同,而且病毒代码也不同),在各盘的根目录生成autorun.inf与cf.exe(其inf内容就是指向cf.exe),同时历遍除%windir%文件夹以外的所有文件夹(包括子目录)感染exe文件,其大小会有原来的exe文件的N倍大(造成所有除%windir%文件夹以外,范包括有exe文件的文件夹体积极度增大),到这里这个病毒就完成了作者赋予它的使命了!被感染exe文件后的文件夹请看图:
这个是在temp文件夹生成的bat文件内容
这是在%windir%文件夹生成的cctv.exe(看来写病毒这哥们挺喜欢央视^_^)
这个是在C盘根目录下生产的cf.exe文件,当时还有AutoGuarder做的免疫,所以那个病毒文件创建的inf文件就没有创建成功,后来为了让它完整的运行,我把免疫文件夹删除了。
这是在D盘根目录下的病毒文件和运行的病毒样本
这个是360的文件夹(360的exe文件比较多“真是满屏尽是卡通像”啊!)
这个是清理助手的文件夹
这个是Autorun病毒防御者的文件夹
这个是红伞的文件夹
这个是IE文件夹
总结:感染exe文件为病毒文件,是除了%windir%文件夹以外的所有文件夹并不只是C盘,我这几个图就是为了给大家演示一下!这个病毒作者用了新的编写方法,没有加壳过了当时基本所有的主流杀软(现在已入库),其运行步骤很少(基本病毒常见动作就是删除自身,创建文件、修改自身为隐藏属性)没有映像劫持,没有破坏隐藏属性,没有修改注册表,没有屏蔽regedit和任务管理器等等,而且在任务管理器里可以看到病毒的进程,用任务管理器就可以停止病毒进程,但当你看到任务管理器里的进程时,它的任务已经完成了,就以破坏为目的!中了这个病毒没有什么好的处理办法!因为除了%windir%文件夹以外的所有exe文件都被感染为病毒文件了,所以除了重装应用软件以外别无它法!
PS:这个作者挺猖狂!竟然在病毒代码里写道“草 你要再上报信不信我灭了你的机房”附上一串反汇编的代码:
VERSION 5.00
Begin VB.Form Form1
End
^_^
写给小三:这个病毒当时过kis8很轻松,运行就放到低受限用户里了,当你发现的时候一切都已经晚了!当然如果是你用就不一定能中这个毒!但用kis8
的毕竟不都是小三吧!^_^。还有就是这个病毒你发的当天我就运行了,这些天始终在忙着弄ubuntu了,越忙还越出错虚拟机还捣乱!我都无语了!再就是你发的那个感染bios的病毒我也运行了!没有动作,两个原因一是:它是个无效的病毒,二是:这种病毒需要真实的物理环境(也就是在虚拟的环境里运行无效)!病毒代码我看了,里面是收集了不少的主板bios信息,但原来感染bios的病毒都是在DOS年代的,现在的32位系统貌似只有这个理念,而实际还没有听说过谁中了这样的病毒!
还是那句话,你把干将、莫邪给厨师他也就是拿来切菜!反过来就说什么卡巴“卡”啊!都说卡巴好,不也是照样中毒吗!所以无论谁问哪个杀软好,我都不给建议,自己感觉好就好,我平时是不开杀软的,常用的就是SREng和wsyscheck有这两个基本就能应付大多数问题了,其实病毒并不可怕!无论你是不小心中的毒还是就是杀软防不住中的毒,一般能杀的就杀了!杀不了的,欢哥不是有首歌唱的好吗“大不了咱们重装系统”,养成好的习惯平时装好干净的系统包括常用软件后,用GHost做个备份,最好备份到NT文件系统的盘里,用权限设置好只读(禁止所有用户的删除和修改写入等)。基本恢复系统也就几分钟的事!
其实最可怕的是木马,它是在悄无声息的情况下,偷走了你的东西,那个损失要远比中毒的损失大多了!
深圳电脑医院之家http://www.szdnwx.net/
深圳电脑维修
电话服务热线:0755-83568048,13714191602
QQ:86892946
插入表情