吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 54852|回复: 63
收起左侧

[PC样本分析] 修改主页为www.131.cc的解决方法 by smallyou93[LSG]

  [复制链接]
smallyou93 发表于 2009-7-3 19:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 是昔流芳 于 2011-2-11 14:49 编辑

MD5:C7D7A2EC21D614F5D1F39C3AAB881D84

运行后,释放多个病毒,动作有:篡改主页、安装服务、安装流氓软件、释放驱动、链接网络、添加IFEO等

其流氓之处,写入注册表,创建一个无法删除的IE图标,指向http://www.131.cc/
1.png

清理方法:
清理IFEO

结束进程
2.png

删除病毒创建的服务(无经验者可无视)
3.png

下载Windows清理助手3

高级功能→文件操作,粘贴,粉碎
(以下是我用CA HIPS监控到病毒创建的文件,仅供参考)
C:\WINDOWS\system32\14421\syster.exe
C:\WINDOWS\system32\fly9473.dll
C:\WINDOWS\system32\dllcache\fly9473.dll
C:\WINDOWS\system32\flymy.exe
C:\WINDOWS\system32\IEMaster.dll
C:\WINDOWS\msapps\hct9320.nfo
C:\WINDOWS\system32\drivers\hemyqvgr.sys
C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll
C:\Program Files\Internet Explorer\IETimbar\cfg.dat
C:\Program Files\Internet Explorer\IETimbar\vercfg.dat
C:\Program Files\Internet Explorer\IETimbar\httpf.dat
C:\Program Files\Internet Explorer\IETimbar\Uninstall.exe
C:\WINDOWS\system32\reallinksvc.dll
C:\WINDOWS\system32\BNITSAPS\msbdcid.ini
C:\WINDOWS\system32\BNITSAPS\rubeh.exe
C:\WINDOWS\system32\BNITSAPS\jgzwt.ini
C:\WINDOWS\system32\BNITSAPS\ifyvs.dll
C:\WINDOWS\system32\BNITSAPS\winvs.dll
C:\WINDOWS\system32\mssrcid.ini
C:\WINDOWS\system32\drivers\msiimw.sys
C:\WINDOWS\system32\behko.exe
C:\WINDOWS\system32\zwtqm.ini
C:\WINDOWS\system32\yvspl.dll
C:\WINDOWS\int21\IntMonitor.exe
C:\WINDOWS\system32\dcfwssvc.dll
C:\WINDOWS\system32\Web.ini
C:\WINDOWS\system32\msscpsvc.dll
4.png

删除病毒添加的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoDriveTypeAutoRun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess\\BrowseNewProcess
HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94}
HKEY_CLASSES_ROOT\AppID\SoduiSvc.EXE
HKEY_CLASSES_ROOT\AppID\usnsvc.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{6270AEE4-AA41-11d4-A25D-008048B63F94}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1163E531-B58E-4BB9-B877-0906A0A22AEC}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94}\Shell\Open\Command
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
5.png
6.png
7.png
8.png
9.png
10.png
11.png
12.png

C7D7A2EC21D614F5D1F39C3AAB881D84.rar

902.5 KB, 下载次数: 286, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 2威望 +2 收起 理由
roxiel + 1 精彩原创
wgz001 + 1 感谢发布原创作品,[吾爱破解]因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2009-7-3 20:26
强大的晕死大牛啊~
鬼魅王子 发表于 2014-7-25 21:39
1244578372 发表于 2014-7-25 12:15
wgz001 发表于 2009-7-3 20:58
先膜拜  后学习   
Tale 发表于 2009-7-3 21:01
93牛淫
ps520 发表于 2009-7-3 22:39
反回去一看原来代码就是些出来
学习病毒代码啦~~~~
hhyy540 发表于 2009-7-4 00:22
这个不错 说的很详细哦  学习了
挂挂 发表于 2009-7-4 08:25
支持一下!!!!
於陵闲云 发表于 2009-7-4 21:35
支持牛人
最可恶的就是篡改首页了
xxfwajj84 发表于 2009-7-4 22:20
可以提供CA HIPS监控 下载吗?
mgstrom 发表于 2009-7-7 10:13
这个不错 说的很详细哦  学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表