网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

“搞笑”的小红猪(小红猫变种)推荐

【网络安全】 2018-01-26本文已影响
昨天得到的样本``QQ上一位反毒高手赠的```一头粉红色小猪,超酷~~~HOHO~~?lhY68学习网-学习教育资源分享平台
lhY68学习网-学习教育资源分享平台
图片点击可在新窗口打开查看lhY68学习网-学习教育资源分享平台
大致看了一下,原来是以前"小红猫"的变种``做了一些小变动``?[url]http://gudugengkekao.blog.51cto.com/blog/172212/28072[/url]可能是编写上的缺陷,很多与测试里无法验证````?病毒信息:File size: 73728 bytes lhY68学习网-学习教育资源分享平台
CRC32??? : 5E723E25lhY68学习网-学习教育资源分享平台
MD5: e830df3e15cddff68559055a061f995e lhY68学习网-学习教育资源分享平台
SHA1: 1d18b958df55de1198b2a9244dd15e38f9f69618 lhY68学习网-学习教育资源分享平台
RIPEMD160: AB5BF69D576838975EB0FA7369E12A8A7EC63A36lhY68学习网-学习教育资源分享平台
Tiger_192: EED2B09076EF7176450C5F8A3FBC502367E0ED3438757B40?virustotal里就3家杀软公司能识别,报的有:McAfee 5042 05.30.2007 New Malware.ac lhY68学习网-学习教育资源分享平台
NOD32v2 2301 05.31.2007 probably unknown NewHeur_PE virus lhY68学习网-学习教育资源分享平台
DrWeb 4.33 05.31.2007 BackDoor.Generic.1588 lhY68学习网-学习教育资源分享平台
VB写的,没有壳```其实很多都是由P处理实现的``?运行红猪,首先删除「开始」菜单\程序\附件\附件下的所有东西!!?后栲贝自身加入「开始」菜单\程序\启动下,名字为userinit.exe , 假冒系统文件,在%windir%下,73728 字节。?并释放四个文件,三个在%systemroot%\system32下,一个在%windir%下分别是:?%windir%\syuserinit.exe 73728 字节(这个还加在了系统登入注册表项userinit.exe,的后面,达到开机自启```)%systemroot%\system32\systemdays.dll? 9 字节%systemroot%\system32\systemtimes.dll 1 字节%systemroot%\system32\user.bat 9 字节?随后主体(那头猪),调用CMD,做一些常人不能理解的行为,搞得HIPS日志一团乱`````?并使用taskkill命令,试图关闭进程里的:QQ.exe?? regedit.exe? Thunder5.exe?? BitComet.exe? rfwmain.exe RavTask.exe rfwsrv.exe Ka???.exe no???.exe avp.exe kv?.exe?尝试修改Boot.ini引导文件,修改“显示隐藏文件”和破坏“安全模式”,覆盖文件等等````不过都没有实现``?最后在D盘生成个文件夹,D:\\Program Files\\WINDOWS\\system32\\Microsoft\\Protect\\S-1-5-18\\User\\…………里面好像也放了个病毒,没注意看了``??其他的乱乱的记不了那么许多``解决方法:?下载冰刃和SREng ```(如果安全模式和”显示隐藏文件“被破坏的话``自己下载注册表导入```)[url]http://free.ys168.com/?gudugengkekao[/url]这里下。?首先打开进程管理``有看到CMD的话先结束掉``?后运行SREng,它会自动修复\Windows NT\CurrentVersion\Winlogon\userinit.exe,这项```lhY68学习网-学习教育资源分享平台
lhY68学习网-学习教育资源分享平台
图片点击可在新窗口打开查看?打开冰刃``删除:?%windir%\syuserinit.exe 73728 字节%systemroot%\system32\systemdays.dll? 9 字节%systemroot%\system32\systemtimes.dll 1 字节%systemroot%\system32\user.bat 9 字节lhY68学习网-学习教育资源分享平台
?去掉启动文件夹病毒文件``lhY68学习网-学习教育资源分享平台
在 开始\菜单\程序\启动\userinit.exe?删除D:\Program Files\\WINDOWS\下的这个Windows文件夹,自己注意看下``不要删除错咯`?如果在每个分区下有Autorun.inf和可疑文件的话,则删除```?那些“附件”里被删除的东东``可以找朋友或同事拷贝过来``(“附件”整个文件夹)``?收工``lhY68学习网-学习教育资源分享平台
lhY68学习网-学习教育资源分享平台
图片点击可在新窗口打开查看lhY68学习网-学习教育资源分享平台
lhY68学习网-学习教育资源分享平台
lhY68学习网-学习教育资源分享平台
图片点击可在新窗口打开查看lhY68学习网-学习教育资源分享平台
版权声明:原创作品,如需转载,请注明出处。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部