第一部分:病毒作恶行径
寒冰(作者名) 通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:
病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了
病毒启动另一程序dappvk.exe
生成病毒同名dll文件:dappck.all
病毒dappvk.exe修改注册表启动项,实现开机自启动
病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可
这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的
net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务
sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用
net.exe又同样尝试结束江民的服务
sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因
这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):
SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务
结束江民控制台进程
同样,又把该服务设置为"禁用"
注入驱动保护,保护病毒删除后重新生成
配置卡吧服务为"禁止"
结束瑞星进程RsRavmon
设置瑞星的RsRavmon服务为"禁用"
结束瑞星监控进程
同样配置瑞星监控服务为"禁用"
寒冰(作者名) 通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:
病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了
病毒启动另一程序dappvk.exe
生成病毒同名dll文件:dappck.all
病毒dappvk.exe修改注册表启动项,实现开机自启动
病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可
这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的
net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务
sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用
net.exe又同样尝试结束江民的服务
sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因
这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):
SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务
结束江民控制台进程
同样,又把该服务设置为"禁用"
注入驱动保护,保护病毒删除后重新生成
配置卡吧服务为"禁止"
结束瑞星进程RsRavmon
设置瑞星的RsRavmon服务为"禁用"
结束瑞星监控进程
同样配置瑞星监控服务为"禁用"
待续......
本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/12081
