妖界之箭 2008-9-19 18:35
看我杀毒36计 病毒分析、清除、善后技巧
看我杀毒36计,病毒分析、清除、善后技巧
网络大赛开始之际,抛砖引玉。网络虽然是个大世界,病毒也层出不群,对于病毒杀法虽然不同,但防守的法则却是大同小异,本文通过对一个病毒的深入剖解,引出了计算机的攻防兼备之法,以期加强安全性。
病毒测试
名称: Backdoor.Win32.Hupigon.ani
类型: 木马
文件长度: 333,024 字节
感染系统: Windows98以上版本
病毒描述
该病毒属于远程控制木马,当病毒感染计算机后,首先会在目录%temp%下生存kendy.exe、baixue.exe两个文件。当kendy.exe运行后会将自身复制到%Program Files%\_rejoice819.exe,%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下,然后通过注册表创建服务,并通过创建iexplore.exe进程通过连接域名转向IP地址,等待病毒作者发送控制指令。
注册表行为
该病毒一旦进行上述行为成功后,将会进军注册表,行为如下:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Description"
类型: REG_SZ"
值:字串:"上兴远程控制服务端"
描述: 病毒服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "DisplayName"
类型: REG_SZ
值:字符串: "Windows_rejoice2008_819"
描述: 病毒服务名
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "ImagePath"
类型: REG_SZ
值:字符串: "C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice819.exe."
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Start"
类型: REG_SZ
值: "DWORD: 2 (0x2)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]
注册表值: "Type"
类型: REG_SZ
值: "DWORD: 272 (0x110)"
描述: 服务类型
注册表行为完成后,病毒将深入计算机系统中,而远程控制者将会通过域名指向发送需求指令控制电脑。
清除方案
中了此毒清除方法也很简单,只须按下列操作即可将此病毒赶出系统之外,方法如下: 删除%Documents and Settings%\a\Local Settings\Temp下的BaiXue.exe程序文件,%Program Files%\Common Files\Microsoft Shared\MSInfo目录下的rejoice819.exe文件和 %Program Files%目录下的_rejoice819.exe 文件,然后删除注册表项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的注册表值: "Windows_rejoice2008_819" 及其下的所有键值,即可。
防范方法:病毒一直让网民深恶痛决,一旦中招,有时连杀软都无能为力,那么此时普通网民只能依靠重装计算机,或对其进行GHOST还原系统来重新使用无毒环境,那么如何才能做好病毒前的预防来加固系统呢?不要急,只要安装下面提供的[dos下关闭木马后门病毒端口]程序即可对计算机病毒进行加固。
[attach]525703[/attach]
[[i] 本帖最后由 僵尸道长 于 2008-9-20 14:45 编辑 [/i]]
411789986 2008-9-19 23:23
:hei: 楼主辛苦了~我来顶一个............
晴兽 2008-9-23 20:15
辛苦了~顶一个............:wuyu:
你好吃了吗 2008-9-25 18:57
看来真是不错幺,收藏了。但本人一直用诺顿那款,也从未中过毒幺!听说到十月份诺顿09版又要新出炉了,真的好期待啊
fallendevil 2008-9-28 09:07
收藏了,好东西...
foxclever 2008-10-6 14:28
不错,收藏。楼主辛苦,谢谢!
flb_2001 2008-10-15 21:11
谢谢分享这种方法
jinloveche 2008-10-16 11:37
辛苦了 谢谢!!!
wenrongsun 2008-10-16 14:18
辛苦了,谢谢你的成果
精致孤独 2008-10-16 19:29
学习喽!现在偶有09版诺顿的保护现在啥病毒也不惧了
070982 2008-10-27 02:33
:hei2: :bang: :shuai: GOOOD
ghyde100 2008-10-28 11:26
辛苦了~~~~:heng:
flystar_01 2008-10-28 11:44
受教了,其实只要自己注意点,应该没多大问题的
