手工病毒分析
病毒与反病毒,这学期的一个专业选修课。留个作业,自己弄个病毒分析一下再手动查杀,写个分析报告。同学在学校机房抓了个简单的auto病毒,试试玩玩。
—————-其实啥也不会————–
病毒样本:学校机房的简单Auto.exe病毒,样本包括 auto.vbs, Auto.exe, autorun.inf三个文件。
系统环境环境配置:
- Sun VirtualBox虚拟机+WinXP Sp3精简版;
- System Safety Monitor(SSM)HIPS主动防御软件,用于监视病毒激发的动作;
- Autoruns查看系统启动项软件;
- IceSwordcn冰刃,查看隐藏目录。
病毒激发中毒后症状:
- 在各个盘下面生成auto.exe和autorun.inf文件,属性隐藏。
- 释放病毒文件到C:\WINDOWS\system32\C8A2BB40.EXE,属性隐藏,同时生成一个假的病毒文件n1215014078k.exe(名字应该是随机生成),这个可以轻易删掉,迷惑用户。
- 在系统服务里加载HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0服务,服务项名称为1E87CA0,指向病毒文件C:\WINDOWS\system32\C8A2BB40.EXE,并设置为自启动。
- 启动项没有添加,因为病毒自启动文件加载在系统服务里,更有隐蔽性。
- 修改文件夹选项里隐藏文件设置,显示隐藏文件不可用,即时选中显示隐藏文件也会被病毒自动改为不可见,不能看见隐藏文件,隐藏病毒体。
由上面病毒激发的动作可以看出,这只是一个很简单的autotun病毒,并没有大的症状,因而查杀时候也很简单。过程:
- CMD下面删除C:\WINDOWS\system32\C8A2BB40.EXE文件
del /f /a C8A2BB40.EXE
,同样方式删除C:\WINDOWS\system32\47CAE1E0.DLL文件 - CMD删除各个盘目录下面auto.exe和autorun.inf文件
- 注册表删除相关项HKLM\SYSTEM\CurrentControlSet\Services\1E87CA0, 重启即可。
总结:从病毒激发过程和查杀过程可以看出这是一个很简单的autorun病毒,而且没有病毒自身保护,所以查杀时候直接删掉病毒体C8A2BB40.EXE即可,并不会自我保护重新生成病毒,估计是学生自己学习编写的一个简单样本,也没有什么实际的破坏作用。通过手动查杀过程,学习了手动杀毒的流程,收获了一些病毒查杀经验。
——————–忽悠结束—————–
很没有步骤也没有条理的分析,跟网上高手的分析差距十万八千里的十万八千里,平时中个U盘病毒其实也会试着去收拾一下,慢慢的就有了点经验,用电脑还是一个习惯问题,好习惯加上一点小技术,It`s Ok!
Was this page helpful?