系统中毒:一次病毒手杀记录
- 2024-05-23 05:07:21
- 来源:其他
- 在手机上看
扫一扫立即进入手机端
现在大部分病毒和木马都通过在磁盘分区根目录下生成Autorun.inf。修改磁盘分区右键菜单的“打开“,“自动播放“等菜单项的点击操作,实现病毒自动运行。 一些典型的症状: 1、双击磁盘分区无法打开分区,提示找不到某某程序 2、双击响应速度变慢。 3、在新窗口打开 |
谨慎的通过在地址栏输入c:\等方式进入分区根目录。不要双击或右键哦!尝试显示隐藏文件和系统文件,诶,这个病毒居然没有修改文件夹的hidden的注册表项,可以显示系统文件和隐藏文件。果然,在每个分区根目录下面有两个隐藏的文件:autorun.inf和system.dll,但是没有.exe的可执行文件,有点奇怪。查看autorun.inf的内容:
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
我不太了解这些语法,从字面意义上看,时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的,反正一句话,如果不是自定义的autorun.inf都是不正常的。
Autorun.inf本来是用在光驱上实现光盘自动播放的工具。本身无害,难而很容易被病毒利用以传播病毒。可以通过修改系统组策略禁止驱动器不自动播放,防范病毒通过自动播放达到自动运行。 |
尝试删除这两个文件,马上,3秒钟,这两个文件又生成了,说明有进程在监控这两个文件,删除了就补回来。尝试先建一个同名的文件抑制再生,就是建立一个同名的文件夹,根据windows文件建立规则,同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件,重新建立。囧,看了那些抑制病毒再生的工具也可以退伍咯。
常见的抑制u盘病毒的工具,就是在U盘下面生成一个autorun.inf文件夹来实现抑制的。这也容易被病毒破解。要加强这种方式,可以通过修改autorun.inf文件夹的NTFS权限,禁止所有人删除! |
很多病毒都通过钩子检查当前窗口的标题,如果符合一些特征,则将该窗口关闭。 |
AppInit_DLLs AppInit_DLLs 是启动项是初始化动态链接库 ,但是有病毒通过修改AppInit_DLLs来执行 ,通过修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]键值来插入病毒. 让病毒在安全模式下也能运行。 Image File Execution Options,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options,病毒通过修改该处键值,实现误导某些可执行程序的路径。比如说,在这个下面添加一个360safe.exe,然后将其键植改为virus.exe,那么我们在运行360safe时,实际上执行的是virus.exe!这个叫映像劫持!通常被病毒利用来阻止杀毒软件的运行。 通常病毒实现随系统启动的办法除了上面提到的两种方式,还有: 1、注册表项:RUN 2、注册表项:Userinit 3、作为服务启动 4、作为驱动启动 |
无意间,我查看了下SRENG扫描出来的日志,我发现一些可疑的东西,==================================
正在运行的进程
[PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
[PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
&nb