大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE稳定放心使用
今天,朋友叫我帮看看他的电脑,说是中了个比较NB的病毒,我颇感兴趣!因为好久没有遇到有挑战性的病毒了!今天又可以练练手了^_^
打开他的电脑,并没有发现什么特别具有破坏力的现象。exe、com、src等等文件都没有被感染,GHOST备份文件也还在。
仔细查看系统,归纳起来,中毒后主要呈现如下症状:
1.杀毒软件被中止和禁止重新启用,系统垃圾清除类软件被禁止启用。
中毒后注销重新进入系统或者重启进入系统,系统的日期被更改。如果系统上装的杀毒软件是KAV,则会出现KAV提示日期出错,软件没有激活。图1是在我系统上测试时的效果:
图 1
中毒后,测试系统中的杀毒软件KAV被终止掉,如果尝试重新启用KAV始出现如下(图2)的提示:
图2
如果是刚被感染,表现是KAV提示连接服务器进程被终止。
系统垃圾清理类软件:
超级兔子软件和360安全卫士也无法使用,尝试打开也会出现上述类似情况,如(图3、图4):
图4
不过,windows优化大师可以正常使用。
2. 进程列表中多出两个进程:iywdqdf.exe和dmecvcm.exe
3. 派生文件:在系统目录 windows/system32 下生成两个文件iywdqdf.exe和dmecvcm.exe
4. 系统的文件夹选项中文件的“显示/隐藏”项常置于隐藏属性,不可更改:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
/Explorer/Advanced/Folder/Hidden/SHOWALL]
“CheckedValue”=dword:00000000
5. 除系统所在盘外,所有盘符的根目录下生成autorun.inf文件和kocmbcd.exe文件。
6.添加注册表使自己自启动:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
iywdqdf.exe -> C:/WINDOWS/system32/iywdqdf.exe
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
dmecvcm.exe -> C:/WINDOWS/system32/dmecvcm.exe
上述现象描述并不完整,可能还有另外的症状。
在我的测试中,没有发现更多的异常情况,CPU占用率和网络通信流量都还正常。首先尝试直接用任务管理器结束两个进程中的任何一个,过几秒钟又自动起动起来了,看来是双进程守护的。哈哈,想想也没这么容易就搞定的。不过,这也是老技术了,想不通病毒编写者也不隐藏一下进程或者做欺骗性的命名处理。那好说了,请老工具出场——Windows杀毒助手。
打开Windows杀毒助手,看其中有这两个进程:(图5)
图5
显然这两个进程分别调用c:/windows/system32/dmecvcm.exe 和c:/windows/system32/iywdqdf.exe 两个.exe文件。至于其调用的动态链接库文件我们就暂不用管它了,把病源干掉再说。为保险起见,我们再查看一下进程的关联端口,发现没有任何关联的端口。两个进程的内存占用率都在5.5 MB左右。好了,既然也没有自动联网,我真搞不懂这个病毒的目的何在了!不罗唆了,干掉要紧。在Windows杀毒助手的进程列表中选中上述两个进程,点击右键,使用“强制关闭进程[多个]”。OK,就这么简单,上述两个进程就真正结束掉了。
在做后续工作前,我必须强调一下:你千万不要直接双击盘符进入,也不要鼠标右击盘符选择“打开”进入。至于原因,都是因为存在的 autorun.inf文件的缘故。其实我们查看一下Autorun.inf文件就很容易理解其中的原因了:
[AutoRun]
open=kocmbcd.exe
shell/open=打开(&O)
shell/open/Command=kocmbcd.exe
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=kocmbcd.exe
它将上述两种操作都重定向到运行kocmbcd.exe 文件了。那么怎么进入盘符目录才不会运行病毒体呢?最简单方法是在地址栏输入盘符进入,如C: 回车 进入。
OK,下面让我们来删除系统目录下的两个.exe文件。隐藏文件不可见怎么办?这里给出两个办法:
1. 编写注册表脚本导入。打开记事本,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden]
“Text”=”@shell32.dll,-30499”
“Type”=”group”
“Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00, 6f ,00, 6f ,00,74,/
00,25,00, 5c ,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c ,00,53,00,/
48,00,45,00, 4c ,00, 4c ,00,33,00,32,00,2e,00,64,00, 6c ,00, 6c ,00, 2c ,00,34,00,00,/
00
“HelpID”=”shell.hlp#51131”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”
“Text”=”@shell32.dll,-30501”
“Type”=”radio”
“CheckedValue”=dword:00000002
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51104”
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”
“Text”=”@shell32.dll,-30500”
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105”
保存上述文件为 UnHidden.reg (文件名任意,后缀为.reg即可)。双击导入注册表。然后修改 工具->文件夹选项->查看->查看所有文件和文件夹 ,并且去掉“隐藏受保护的系统文件(推荐)”前的勾。现在,可以进入系统目录c:/windows/system32/ 下,直接删除iywdqdf.exe和dmecvcm.exe 文件了。
2. 在命令行模式下删除文件。你可以直接用
del /A attrib iywdqdf.exe -h -s –r
del /A attrib dmecvcm.exe -h -s –r
命令删除,也可以在用attrib 命令更改文件属性后在图形界面下将其删除。
结束了病毒进程,删除了直接的“病毒体”,用同样的方法,接着我们来处理病毒源。根据经验,显然 kocmbcd.exe 文件应该就是真正的病毒体。从去年(06年)六月以来流行的多种病毒,如rose、RavMon、fun.xls以及熊猫烧香等一系列病毒都是利用autorun.inf来进行病毒感染与传播。不过,这个kocmbcd.exe的病毒作者有一点点改进,那就是由于他改进了autorun.inf的缘故,即使用户使用右击打开盘符的方式仍然会中毒。kocmbcd.exe文件信息如图6所示:
图6
该文件的大小固定为37.8KB,修改日期为1987年5月28日,属性为隐藏,系统。
我们来试试能不能直接删掉——哈,居然直接就可以删除!(再次提醒你,一定要以正确的方式进入盘符目录或者再命令行下操作,因为这是成功清除病毒的前提。)
好了,病毒体都删掉了。在windows配置实用程序(运行中输入msconfig进入)中去掉iywdqdf.exe 和 dmecvcm.exe 项前的勾:(图7)
图7
剩下的就是如何使KAV等病毒软件与超级兔子等垃圾清理软件正常工作,以及注册表垃圾清理的事情了。
重新启动电脑后,试图打开KAV,出现现象1的情况。尝试了修复安装和完全卸载重新安装两种方式,仍然出现现象1的情况。看来是注册表的问题了,由于时间关系我没有对注册表进行对比分析,在这里只是把解决的方法拿出来。
既然我们猜到是注册表的问题了,我先从超级兔子入手。兔子正常工作了,我就注册表清理的工作就交给它了。
方法很简单——找到超级兔子的安装目录,更改运行主文件:(图8)
图8
现在双击 MagicSet2.exe试试,是不是兔子又正常运行起来了?^_^
使用兔子的注册表清理功能,选中“扫描错误的类”,然后清理。完毕后将兔子名字改回去,是不是也能正常运行了?再试试KAV和360安全卫士,是不是都正常工作了?
OK,到这里病毒处理工作也就差不多完成了。我的邮箱是computer.wei@gmail.com .还有就是本文只是对该病毒的一个表层现象与处理的描述,没有深入到具体的编程实现细节,只是想起到一个抛砖引玉的作用,希望有更多病毒研究方面的爱好者对它的机理作进一步的剖析。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/186313.html原文链接:https://javaforall.net
