信息来源:邪恶八进制信息安全团队([url]www.EvilOctal.com[/url])
文章作者:EvilOctal [E.S.T]
昨天晚上接到伊天姑娘传过来的一个qq自动传输文件病毒体的变种 于是赶在今天晚上用了一些时间做了分析和抓图以 及手工查杀测试 成功了所以总结给大家
首先 被此病毒感染的现象分析如下:
1 病毒伪装成JPG文件的图标 但是扩展名是exe 很容易迷惑MM(如图7)
文章作者:EvilOctal [E.S.T]
昨天晚上接到伊天姑娘传过来的一个qq自动传输文件病毒体的变种 于是赶在今天晚上用了一些时间做了分析和抓图以 及手工查杀测试 成功了所以总结给大家
首先 被此病毒感染的现象分析如下:
1 病毒伪装成JPG文件的图标 但是扩展名是exe 很容易迷惑MM(如图7)
2 一但使用qq同对方说话 或者是在接收消息欲回复时就会自动传输文件给对方 有时可以看见 有时后台运做
3 病毒启动后 无法调用任务管理器查看进程 打开立即被关闭 可以看见任务管理器一闪而过
4 注册表编辑器可以使用 所以粗略查看了一下exe和txt的文件关联 初步断定此病毒不关联exe 但是NOTETXT.EXE并非记事本 记事本应该是NOTEPAD.EXE(图3和图4)
3 病毒启动后 无法调用任务管理器查看进程 打开立即被关闭 可以看见任务管理器一闪而过
4 注册表编辑器可以使用 所以粗略查看了一下exe和txt的文件关联 初步断定此病毒不关联exe 但是NOTETXT.EXE并非记事本 记事本应该是NOTEPAD.EXE(图3和图4)
5 变换思维方式 可以使用tasklist简单查看进程发现可疑 使用msconfig查看启动发现可疑 并使用netstat -an查看端口 并且使用安天端口到进程查看系统情况 初步确定此病毒不监听端口 既然不监听 可能会发送邮件 于是立刻断开网络(如图1和图2)
6 使用安天端口或者taskkill杀掉进程后 发觉并不会重新生成 即使重复双击病毒体也不会马上生成 初步断定病毒没有多进程守护
7 从注册表中找到地址(图5)删除system32目录下的两个可执行文件后 发觉过3-5s左右会重新生成 看来还是有守护进程 决定到安全模式下查杀 到安全模式下发觉可以使用任务管理器了 证明查杀条件基本成熟
7 从注册表中找到地址(图5)删除system32目录下的两个可执行文件后 发觉过3-5s左右会重新生成 看来还是有守护进程 决定到安全模式下查杀 到安全模式下发觉可以使用任务管理器了 证明查杀条件基本成熟
分析完毕后开始手工查杀:
1 首先重新启动计算机 自检画面完后 立刻按F8 直到看到启动选单 选择第一个的安全模式 一路回车 进入系统 确定提示警告后 启动注册表编辑器
2 打开我的电脑 定位到C:\WINDOWS\system32下 找到slserv.exe和slcsvr.exe(图片标志 隐藏属性)删除 找到slrundll.exe删除 找到hookdll.dll删除 然后搜索所有以上三个文件的名字 全删除 下一步
3 将注册表编辑器定位到如下主键[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
您将看见图5中的类似情况 现在把我红框中的两条键名直接删除
4 将注册表编辑器定位到[HKEY_CLASSES_ROOT\txtfile\shell\open\command]把NOTETXT.EXE修改成NOTEPAD.EXE 并冲到System32下删除NOTETXT.EXE
5 重新启动进入正常状态的系统 再次打开我的电脑 定位到C:\WINDOWS\system32下 将slcsvr.exe(可能有)删除 重新再次启动注册表定位到前面的run键下 找到图5框中下面那条(如果有就删除 一般是下面那条)一般严格按照我前面的操作做是不会有了
6 好 现在重新启动系统 运行qq和任务管理器测试是否还有问题 应该已经查杀 如果还有 那么请联系qq124839278 发信息注明是此帖所说的问题 并附带您的病毒体....
1 首先重新启动计算机 自检画面完后 立刻按F8 直到看到启动选单 选择第一个的安全模式 一路回车 进入系统 确定提示警告后 启动注册表编辑器
2 打开我的电脑 定位到C:\WINDOWS\system32下 找到slserv.exe和slcsvr.exe(图片标志 隐藏属性)删除 找到slrundll.exe删除 找到hookdll.dll删除 然后搜索所有以上三个文件的名字 全删除 下一步
3 将注册表编辑器定位到如下主键[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
您将看见图5中的类似情况 现在把我红框中的两条键名直接删除
4 将注册表编辑器定位到[HKEY_CLASSES_ROOT\txtfile\shell\open\command]把NOTETXT.EXE修改成NOTEPAD.EXE 并冲到System32下删除NOTETXT.EXE
5 重新启动进入正常状态的系统 再次打开我的电脑 定位到C:\WINDOWS\system32下 将slcsvr.exe(可能有)删除 重新再次启动注册表定位到前面的run键下 找到图5框中下面那条(如果有就删除 一般是下面那条)一般严格按照我前面的操作做是不会有了
6 好 现在重新启动系统 运行qq和任务管理器测试是否还有问题 应该已经查杀 如果还有 那么请联系qq124839278 发信息注明是此帖所说的问题 并附带您的病毒体....
本文转自loveme2351CTO博客,原文链接:
http://blog.51cto.com/loveme23/8237
,如需转载请自行联系原作者
