zoukankan      html  css  js  c++  java
  • 关于Recycle.exe病毒的分析

    【名称】:recycle.exe病毒

    【传播方式】:U盘

    【属性】:木马

    【测试环境】:windows xp sp3 、冰刃、Process MonitorV2.02H、File Monlter、combo防火墙免费版(功能全开,未更新)

    【表现形式】:感染U盘,把U盘里根目录的文件夹隐藏为系统属性,并建立相同的文件名.exe文件,和recycle.exe系统隐藏文件,大小固定1.16mb,可显示的exe病毒表现为我的文档形式图标,在系统文件夹windows/system32下建立一个6个字符左右数字+大些字母随机名的文件夹,在下面的生成的是同名的病毒exe文件,为系统隐藏属性,在任务管理器里可以发现系统文件夹下的那个病毒名称(貌似插入U盘后出现)。病毒设置为自启动(注册表里有自启动键值),可能造成系统内核加载失败等问题(出现过),使用监视工具Process MonitorV2.02H.exe运行病毒后崩溃,在启动组【开始】菜单的【启动】里写入了可见的启动项,冰刃无法找到病毒进程,在冰刃里发现安装了键盘和鼠标钩子(用于截获用户行为的)。

    用File Monlter进行过滤选择发现打开了windows/Prefetch下的recycle.exe-0d0997f9.pf文件

    读取文件:windows/system32/imm32.dll

    windows/system32/lpk.dll

    windows/system32/usp.dll

    windows/system32/usp10.dll

    windows/system32/guard32.dll

    windows/system32/fltlib.dll/

    windows/system32/winmm.dll

    发现访问了msctfime.ime认为是具有键盘记录的

    发现访问了iphlpapi.dll认为有ip函数调用(网络功能)

    访问了ieframe.dll

    往根目录里写了$convertToNonresident

    创建了文件E_N4在temp目录

    在E_N4下创建了krnln.fnr文件

    E_n4下文件有

    krnln.fnr

    htmlview.fne

    internet.fne

    eAPI.fne

    dp1.fne

    【对系统的影响】:当有U盘插入电脑时,打开我的电脑会发生未响应的故障,强制拔出U盘,恢复正常,windows提示写入U盘的信息有可能损坏

    在windows/system32/生成了病毒文件夹,并产生了recycle.exe文件和NT_.....exe文件拦截了5个要写入注册表的病毒文件大小1.16MB

    【解决办法】:在文件夹选项里去掉隐藏系统文件选项,在任务管理器内找到病毒名称(可以在msconfig中找到一个启动选项)结束掉,并删掉系统文件夹windows/system32下的病毒文件夹和文件(msconfig里有路径),删掉【开始】菜单的【启动】选项里的快捷方式(用cmd解决病毒的系统属性)在注册表里查找病毒名称的键值删掉所有的键值,重启电脑,插入U盘,无病毒写入文件,问题解决。

    U盘免疫办法:建立autorun.inf文件夹,建立reclyer.exe文件夹并进行删不掉处理。

    分析有偏颇之处,还请见谅

    【注】:

    MD5:D41D8CD98F00B204E9800998ECF8427E

    SH1:DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

    CRC-32:00000000

  • 相关阅读:
    数据绑定(八)使用Binding的RelativeSource
    你是程序猿这块料吗?
    创建与删除索引
    Verilog分频器
    mysql触发器的作用及语法
    QoS令牌桶工作原理
    Android 开发新方向 Android Wear ——概述
    程序猿接私活经验总结,来自csdn论坛语录
    [Node.js]27. Level 5: URL Building & Doing the Request
    [Node.js]26. Level 5 : Route rendering
  • 原文地址:https://www.cnblogs.com/fenqi/p/3008887.html
Copyright © 2011-2022 走看看