【工具】:Olydbg1.1、IDA5.0【任务】:病毒分析以及解决方案【操作平台】:Windows2003server【作者】:LoveBoom[DFCG][FCG][CUG]【链接】:N/A【简要说明】:"离开党和人民一年"、荒废了一年,2006年可所谓沉迷于游戏从帝国到星际,总是追求着自己所谓的目标,而今回头看却发现不但没有达到自己的目标,反而是离生活越走越远了。
2006过了,不想自己的2007也是这样碌碌无为的过着。
关于这个病毒,我想很多朋友都知道,这个病毒在2007年初闹的比较凶,很多朋友曾经中过这病毒。
看看这病毒到底是怎么回事,我们应该怎么去处理这病毒。
【病毒分析】:概要:这病毒我最早在10月底时接触,那时这病毒并没有现在这样流行(也许是病毒刚出来吧)。
曾经几个月的发展,前几天从同事那拿了几个新变种看了会,发现病毒和早期的版本相差比较大。
根据病毒的差异,我自己将病毒分为:ABCD4个变种。
各变种的不同处如下:A病毒将自身复制为%System32%\FuckJacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。
B病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。
C病毒不再感染用户系统中的可执行文件,而是感染用户系统中的脚本病毒(这样的危害更大)在每个感染后的文件夹中写下感染标记文件。
D感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。
用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。
今天我分析的就是C版本(下次有空我将整理出A版本的分析资料),小版本可能会有所不同,因此如果你发现你机器上的和我所述的相似但不完全一样也是正常的。
中毒表象:以下几个特征为中毒的表现:1、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
2、无法手工修改"文件夹选项"将隐藏的文件显示出来。
3、在每个感染后的文件夹中可见Desktop_.ini长度为12字节的隐藏文件(这个和Viking病毒一样)。
6、无法正常使用任务管理器、icesword之类的系统检测工具。
7、进程中可以找到伪系统正常进程的spoclsv.exe病毒进程。
8、系统自启动项中有病毒添加的注册表自启动项。
9、无故的向外发包、连接局域网中的其它机器。
CODE:0040CC5A然后运行感染前文件。
CODE:0040CC5FcallInfect这里进去就是感染文件模块。
CODE:0040CC64callKill_AV_GetNetInfo清除反病毒软件和下载其它病毒。
如果是病毒体则判断是否在Drivers目录下运行,不是则终止系统进程中的病毒,然后将自身替换Drivers目录下以已有的病毒体(估计是用于病毒本身的更新)。