2024年1月18日发(作者:)
首先删除之,要么直接格式化,要么就按下面的方法删除:
右键点击你的U盘,选择“资源管理器”,进入U盘,文件夹工具栏——工具——文件夹选项——查看——显示所有文件和文件夹——确定
删除隐藏的“”和“RECYCLER”两个文件夹
其次防止其再次生成:
开始——运行——cmd
输入X:(X是你的U盘盘符,可能是H,也可能是G或者I,看情况而定),回车
输入md ,回车(此步建立了一个文件夹)
输入cd ,回车(进入该文件夹)
输入md undel.. 回车(建立不可删除文件夹)
这样,U盘再次插入时病毒无法自行启动
再次插入U盘,在CMD中输入X:进入U盘
输入md RECYCLER 回车
输入cd RECYCLER 回车
输入md S-5-3-42-2819952290-8240758988-879315005-3665 回车
输入cd S-5-3-42-2819952290-8240758988-879315005-3665 回车
输入md 回车
输入cd 回车
输入md undel.. 回车
蠕虫病毒分析+专杀工具源代码+手工清除全过程
——By DeathMemory
简介:
病毒名称: (变种)
大小: 125-128 Kb
生成文件: %systemroot%system32
移动设备生成文件:
; . (jwgkvsq 是随机字母)
备注: 以下贴出的代码,在XPSP2+VC6.0下编译通过
最近进入Windows下学习,教室电脑里Windows系统里都有蠕虫病毒。感觉这个病毒还是挺有意思的,于是有了本文。
此蠕虫会在移动设备里生成和 .
。看到这里一些朋友可能会恍然了吧。这个毒的配置文件比较有意思,里面写了很多乱码,起到加密的作用。相信很多人都看到过。
以下是部分乱码:
=============================================================
; 郊D塮IJ刹u缹 檺G 娞穜kX镱OV黬奻烝L
; fb
; 衙o绒迪KkA a熋T獂箄er薴滼昽jP姐Ff箇u╥纆H卋阭K猌HyFL
[ TdkjJufXACQXwTrqdYPpjbSC]
;Kf抁
; 菒雒er狵疍 oJUqHK emTiv譔筿鰿廔og遄f 霥巨c?
ajzLmMmVuIndpuy = lcH
QPDdnsHCDPoyNqFrWqCPwdLwE = EYhdLWGyLTaLO
KQKpTKLgSQvADhzMNrhSy = VZqYYrMDNyVUqfoNwyaUdSitL
; YBQ疕S無耣O臑漛鐴rwuom渉HkもFy鷢b櫘i鑔踆orf碞v暺
; X纶Oqヌ髁蘫囈置郙Sv偔qh肏h
XQQT = KXpdSzJH
; XVkP鳨餉冿o賨鷏℅O邾boeS
;恙焸V嗚 vp涘驆蓈鼉鲛坍▃靌錏
; TNoA熽浶quO隠Gb 饁噢侱Yi誜镤jB篤w╦夵R?
; R娏諬 CAqVr蚿p墉喫汛h伋n僨m糶jA荎k翿T洿Wt擷薝Bu
FfWcviZFJ = kMHcLuKMpxbeHUvVLDm
; m竣D甜豽钕蔢槉軔曭H蟚莣裏渆Vl藾諷Vnn猧Pg雙r縰h猵綰 o
; 苀荱醙 閍谛u EP勞vA硴o?
Oy = X
; b蔝︽椋I滨囂lPT餻革饸鈳裾A喣膞z
=============================================================
大家都知道,是有很严格的输写规范才能正确执行的。而且是用';'作为注释符,也就是说正确的配置信息还是以文本形式存在文件里的,手工找还是可以找到的,这么多注释的乱码也无非是为了掩人耳目。
在API里已经有了获取ini形式配置信息的函数GetPrivateProfileString,对inf文件一样可用,两者格式几乎是一样的。
DWORD GetPrivateProfileString(
LPCTSTR lpAppName, // points to section name
LPCTSTR lpKeyName, // points to key name
LPCTSTR lpDefault, // default string 当key没有找到时返回的指定字符串
LPTSTR lpReturnedString, // points to destination buffer 保存结果的char*
DWORD nSize, // size of destination buffer 指定char*的大小
LPCTSTR lpFileName // points to initialization filename 指定路径
);
====[autorun]获取源码===========================================
const int bufSize = 2048;
char buf[bufSize];
ZeroMemory(buf,bufSize); //设置保存结果的Buffer
char path[256];
ZeroMemory(path,256);
memcpy(path,m_path,strlen(m_path));
//这里buf 获取的是所有key 的值
if(!::GetPrivateProfileString("autorun",NULL,NULL,buf,sizeof
buf,path))
{
MessageBox("读取文件失败!");
return;
}
//打开及将结果保存到文件
CFile a;
(".Autorun_inf_",CFile::modeCreate|CFile::modeWrite,NULL);
char* tmp;
char rebuf[bufSize];
ZeroMemory(rebuf,bufSize);
CString result;
//这里是函数的主要实现。
::GetPrivateProfileString("autorun",buf,"NULL",rebuf,bufSize,path);
("%s = %sn",buf,rebuf); //取得第一条结果
(result,gth()); //写入第一条结果
//循环取出key 并将检到的结果保存到rebuf
for (int i=0;i { if (buf[i]==0 && buf[i+1]==0) { break; } if (buf[i]==0) { tmp = &buf[i+1]; ::GetPrivateProfileString("autorun",tmp,"NULL",rebuf,bufSize,path); ("%s = %sn",tmp,rebuf); (result,gth()); } } (); 这样就取到了[autorun]所有的配置信息: ====[autorun]================================================ AcTION = 打开文件夹以查看文件 icon = %syStEmrOot%,4 ;这句是取里的编号为4的图标 shelLExECUte = .RECYCLERS-5-3-42-2819952290-8240758988-879315005 -,ahaezedrn ;上面一句是调用来运行并且调用此文件的ahaezedrn函数 useAuTopLAY = 1 ====病毒动作分析============================================= HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 新: DWORD: 2 (0x2) 旧: DWORD: 1 (0x1) 将此项设置为2以隐藏病毒文件并在c:windowssystem32下生成 HKLMsystemCurrentControlSetServicesBITSStart 新: DWORD: 4 (0x4) 旧: DWORD: 3 (0x3) HKLMsystemCurrentControlSetServicesBITSERSvc 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) HKLMsystemCurrentControlSetServicesBITSwscsvc 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) HKLMsystemCurrentControlSetServicesBITSwuauserv 新: DWORD: 4 (0x4) 旧: DWORD: 2 (0x2) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 在系统盘符下生成文件 %systemroot%system32 在"C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet 5"任意子目录下生成 将其 NTCurrentVersionSvcHost"下的netsvcs键值中,加入已有的列表尾,写入"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"下 服务描述为"监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。"与Windows正常的Logical Disk Manager服务的描述相同,但病毒名称是"Shell Center"。 要注意的是,病毒伪造的服务也是从服务列里随机伪造的!这里只是列举一个实例。 该病毒每隔一定时间,会在局域网中描扫活动主机,并尝试利用MS08-067攻击。攻击时会在注入的svchost中新建线程,当攻击测试结束时会关闭所建线程。 该病毒会监控移动设备,若发现可移动设备,便将 和 写入到指定路径中。写入操作时会在注入的svchost中新建线程,当写入结束时线程结束。此毒为了不影响系统运行速度,没有实时监控,删除写入文件后不会重复写入。 ====手工清除过程============================================= 1.关闭相应卸载%systemroot%system32 如何精确锁定被注入的进程ID? 用autoruns查看系统服务,很容易锁定病毒的DLL文件 %systemroot%system32 执行第3步的第一项操作将ShowAll的CheckValue值设为1后,显示系统、隐藏文件。 打开%systemroot%system32找到 解锁Dll,关闭相应进程,删除 2.删除"C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet 5"下及下级目录与 3.恢复注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL: CheckedValue (设置值为 1 ) HKLMsystemCurrentControlSetServicesBITS: Start (设置值为 0x00000003 ) HKLMsystemCurrentControlSetServicesERSvc: Start (设置值为 0x00000002 ) HKLMsystemCurrentControlSetServiceswscsvc: Start (设置值为 0x00000002 ) HKLMsystemCurrentControlSetServiceswuauserv: Start (设置值为 0x00000002 ) 打开注册项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost下的netsvcs值,将病毒注册的服务项 (rnd2 是随机字母) 删除(不要乱删,防止系统崩溃) 删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的病毒服务项 4.重启,病毒不会再次生成,这样这个毒便算是完全清除了。 注意:若处在局域网环境中,该病毒还会利用MS08-067漏洞主动攻击,所以域中若有其它电脑感染,有可能会重复感染,所以清除时应先断网。清除后应及时打好MS08-067对应补丁。 ====专杀工具源码============================================= /* 以下是主要功能代码,已经可以达到查杀的效果,若想更完善可根据需要自行添加、修改、封装。 BOOL PromoteLimit(); //提权 BOOL CloseProc(); //结束进程 BOOL RemoveFiles(); //删除文件 BOOL RenewReg(); //恢复注册表 */ ////////////////////////////////////////////////////////////////////////// //提权 ////////////////////////////////////////////////////////////////////////// BOOL CRemoveDlg::PromoteLimit() { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if ( ! OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) ) { //WriteToLog("openprocesstoken error"); return FALSE; } if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ) { CloseHandle( hToken ); //WriteToLog("lookuprivilegevalue error"); return FALSE; } egeCount = 1; eges[0].Luid = sedebugnameValue; eges[0].Attributes = SE_PRIVILEGE_ENABLED; if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) ) { CloseHandle( hToken ); return FALSE; } return TRUE; // MessageBox("提权成功!"); //提权代码,差不多已成套路了没什么可说的。 ////////////////////////////////////////////////////////////////////////// } ////////////////////////////////////////////////////////////////////////// //结束进程 ////////////////////////////////////////////////////////////////////////// BOOL CRemoveDlg::CloseProc() { HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPALL,NULL); if (hProcess==NULL) { MessageBox("创建快照失败!"); return FALSE; } PROCESSENTRY32 lppe; = sizeof PROCESSENTRY32; Process32First(hProcess,&lppe); HMODULE lphModule[100]={0}; CString temp = ""; for(DWORD count=0;Process32Next(hProcess,&lppe);) { //MessageBox(ile); CString strTemp = ile; wer(); if (strTemp!="") // continue; //("th32ProcessID:%d,th32ModuleID:%d,th32DefaultHeapID,%d", // 32ProcessID,32ModuleID,32DefaultHeapID); //MessageBox(temp); MODULEENTRY32 pe32; // 在使用这个结构之前,先设置它的大小 = sizeof(pe32); // 给进程内所有模块建一个快照 HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,32ProcessID); if (hModuleSnap == INVALID_HANDLE_VALUE) { MessageBox("建立Moudle快照失败!"); continue; } BOOL bMore = Module32First(hModuleSnap, &pe32); while (bMore) { strTemp = le; wer(); if(strTemp=="") // 可以是指定进程中具有代表意义的模块 { HANDLE hTarget = OpenProcess(PROCESS_ALL_ACCESS,TRUE,32ProcessID); if(!TerminateProcess(hTarget,0)) { return FALSE; } CloseHandle(hTarget); break; } bMore = Module32Next(hModuleSnap,&pe32); } CloseHandle(hModuleSnap); } CloseHandle(hProcess); return TRUE; } ////////////////////////////////////////////////////////////////////////// /*删除文件,这里为了方便只删除了system32里面的病毒文件,因为单独存放在IE临时文件中的病毒文件是无法自动运行的。当用清理工具清理系统临时文件时自然就除去了,若想删除的话,添加代码就是。*/ ////////////////////////////////////////////////////////////////////////// BOOL CRemoveDlg::RemoveFiles() { WIN32_FIND_DATA FindFileData; HANDLE hFind; char pathBuf[MAX_PATH]; UINT pathLength = GetSystemDirectory(pathBuf,MAX_PATH); if (pathBuf[pathLength]!='') strcat(pathBuf,""); strcat(pathBuf,"*.dll"); hFind = FindFirstFile(pathBuf, &FindFileData); while(hFind != INVALID_HANDLE_VALUE) { if ((Attributes&FILE_ATTRIBUTE_HIDDEN) && (izeLow>125*1024 && izeLow <170*1024)) //缩小范围 { // MessageBox(" Find !"); ////////////////////////////////////////////////////////////////////////// ////下面是简易的病毒特征码比较,可以改进 ////////////////////////////////////////////////////////////////////////// CString strFileName; strFileName = pathBuf; int pos = ('*'); (pos,gth()-pos); strFileName += ame; SetFileAttributes(strFileName,FILE_ATTRIBUTE_NORMAL); HANDLE fileHandle = CreateFile(strFileName, GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); CString buf; const toSize = 10*1024; char tempBuf[toSize]; DWORD iSize = 0; for(int wait;!ReadFile(fileHandle,tempBuf,toSize,&iSize,NULL);wait++) { if (wait == 5) { CloseHandle(fileHandle); return FALSE; } Sleep(1000); // CString checkBuf; // ("ReadFile Failed ! %d",GetLastError()); // MessageBox(checkBuf); } for (DWORD i=0;i { (tempBuf[i]=='U'&&tempBuf[i+1]=='P'&&tempBuf[i+2]=='X') { //MessageBox("find !"); //病毒特征码相符 CloseHandle(fileHandle); DeleteFile(strFileName); } } CloseHandle(fileHandle); } if if(!FindNextFile(hFind,&FindFileData)) { MessageBox("Not Find Files !"); break; } } FindClose(hFind); return TRUE; } ////////////////////////////////////////////////////////////////////////// /*恢复注册表,这里为了方便只修复了主要注册表,还会遗留冗余的服务配置信息,当用清理工具清理系统冗余注册表值时自然就除去了,若想完全清除的话,添加代码就是。*/ ////////////////////////////////////////////////////////////////////////// BOOL CRemoveDlg::RenewReg() { HKEY hkResult; long lg = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL", 0, KEY_ALL_ACCESS, &hkResult); if (lg != ERROR_SUCCESS) { MessageBox("打开注册表项 SHOWALL 出错!"); return FALSE; } DWORD buf = 0x00000000; DWORD iResult; RegQueryValueEx(hkResult,"CheckedValue",0,0,(BYTE*)&buf,&iResul t); if (buf == 2) { buf = 0x00000001; RegSetValueEx(hkResult,"CheckedValue",0,REG_DWORD,(BYTE*)&buf,sizeof(buf)); } RegCloseKey(hkResult); ////////////////////////////////////////////////////////////////////////// lg = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "systemCurrentControlSetServicesBITS", 0, KEY_ALL_ACCESS, &hkResult); if (lg != ERROR_SUCCESS) { MessageBox("打开注册表项 BITS 出错!"); return FALSE; } buf = 0x00000000; RegQueryValueEx(hkResult,"Start",0,0,(BYTE*)&buf,&iResult); if (buf == 4) { buf = 0x00000003; RegSetValueEx(hkResult,"Start",0,REG_DWORD,(BYTE*)&buf,sizeof(buf)); } RegCloseKey(hkResult); ////////////////////////////////////////////////////////////////////////// lg = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "systemCurrentControlSetServicesERSvc", 0, KEY_ALL_ACCESS, &hkResult); if (lg != ERROR_SUCCESS) { MessageBox("打开注册表项 ERSvc 出错!"); return FALSE; } buf = 0x00000000; RegQueryValueEx(hkResult,"Start",0,0,(BYTE*)&buf,&iResult); if (buf == 4) { buf = 0x00000002; RegSetValueEx(hkResult,"Start",0,REG_DWORD,(BYTE*)&buf,sizeof(buf)); } RegCloseKey(hkResult); ////////////////////////////////////////////////////////////////////////// lg = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "systemCurrentControlSetServiceswscsvc", 0, KEY_ALL_ACCESS, &hkResult); if (lg != ERROR_SUCCESS) { MessageBox("打开注册表项 wscsvc 出错!"); return FALSE; } buf = 0x00000000; RegQueryValueEx(hkResult,"Start",0,0,(BYTE*)&buf,&iResult); if (buf == 4) { buf = 0x00000002; RegSetValueEx(hkResult,"Start",0,REG_DWORD,(BYTE*)&buf,sizeof(buf)); } RegCloseKey(hkResult); ////////////////////////////////////////////////////////////////////////// lg = RegOpenKeyEx(HKEY_LOCAL_MACHINE, "systemCurrentControlSetServiceswuauserv", 0, KEY_ALL_ACCESS, &hkResult); if (lg != ERROR_SUCCESS) { MessageBox("打开注册表项 wuauserv 出错!"); return FALSE; } buf = 0x00000000; RegQueryValueEx(hkResult,"Start",0,0,(BYTE*)&buf,&iResult); if (buf == 4) { buf = 0x00000002; RegSetValueEx(hkResult,"Start",0,REG_DWORD,(BYTE*)&buf,sizeof(buf)); } RegCloseKey(hkResult); return TRUE; } /* 上面功能的实现。 */ void CRemoveDlg::OnBtnRemove() { // TODO: Add your control notification handler code here if(!this->PromoteLimit()) { MessageBox("提权失败!"); return; } if(!this->CloseProc()) { MessageBox("结束进程失败!"); return; } if(!this->RemoveFiles())//册除文件 return; if(!this->RenewReg()) return; if(MessageBox("已完成!n是否现在重启计算机?","Finished !",MB_OKCANCEL) == IDOK) system("shutdown -r -f -t 0"); } ============================================================= 以上是我检测的病毒的分析及处理过程,和官方报出的病特征不太相同,估计是变种,但操作是类似的,建议操作完成后清理一下系统垃圾文件及冗余注册表
发布评论