-
最新熊猫烧香变种病毒gYAef.exe 完整手工查杀过程
【黑基原创】
作者: sudami
========================================================================================
感谢 华夏黑客联盟 ℃冰河℃ 斑竹提供的 熊猫烧香最新变种病毒样本(出现时间 07/01/26),
变种病毒名称:gYAef.exe
发现日期: 07/01/26
由于刚得到样本,来不及做脱壳分析,主要把病毒发作症状和手工杀毒方法原本的写出来,以供参考!
========================================================================================
虚拟机上测试:
打开样本gYAef.exe后,症状很明显,所有感染熊猫烧香的特征都包括在内:
即不能打开任务管理器,注册表,超级兔子,冰刃,WINDOWS优化大师;
不过一会儿防火墙关闭,杀软关闭.
下面是截图:
运行后的初步症状如下:
此时机器会很卡,因为后台病毒在下载木马流氓软件,并安装他们:
看这里,安装了一大堆流氓软件,看着就气.....
然后病毒在后台扫描局域网里的其他电脑,我主机上的防火墙记录下来了客户机的情况:
CMD中运行 netstat -an 即可看到病毒开放了很多端口对外扫描,我就不做截图了...
比较震撼的是这个病毒让机器在重启后蓝屏,如下 :
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
运行--cmd--tasklist 后就可以看到多了很多陌生的进程了:
仔细看看,病毒进程有 5 个,不包括病毒后台运行的IEXPLORE.EXE...恐怖吧,明摆着欺负人....
运行 taskkill /f /im 进程名 来强行结束比进程(当然也可以用 ntsd -c q -p PID 来实现,我是为了大家把5个病毒进程看的更清楚,所以都用进程名表示的....)
效果如下:
这时候不可动任何.exe文件,运行任务管理器被禁止了...
到CMD中输入 regedit 打开注册表,解决任务管理器被禁止的问题(这个就很简单了...菜鸟都会了吧...)
或者直接导入注册表:
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
此时最好把任务管理器一直打开着,以后就不要再动它了,因为关掉再开的话可能又会激活病毒,
注册表也是一样,运行一次就一直保留着....
要删除病毒文件,当然要查看隐藏的东西了,病毒还是改了的...意料之中....:
或者直接导入注册表:
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
接着,根据进程名称 和注册表中的相关启动项的位置 查找 病毒文件( win+F)
此病毒文件比熊猫烧香的东东多多了,看了你就知道了:
病毒在 C:\WINDOWS下 和 C:\WINDOWS\SYSTEM32下 和 C:\WINDOWS\SYSTEM32\drivers下都有文件,很多....
作者还蛮有意思的, kelnels.exe本来是WINDOWS2000的核心进程的,作者加了个 88.大概是让他完蛋吧,哈哈...
下面的就是此变种病毒的主文件所在地,和熊猫烧香的窝儿是在一个地方哦!!!
以上的文件都删除掉,大部分都能直接删除,有1到2个文件删除不掉,因为它是插入到系统进程中的,下面介绍方法":
不着急,先看看在注册表的另外2个地方是不是还有它的启动相关:
①
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
如图:
②
[Copy to clipboard]CODE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
如图:
这里就出现病毒项目了:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的UERINIT,
C:\WINDOWS\SYSTEM32\USERINIT.EXE, c:\windows\gyaef11111.exe,rundll32.exe...
删掉!
确保没有异常后退出注册表
其他地方没有发现病毒修改的痕迹...
查看.exe文件关联是正常的,.txt文件关联也同样正常...
HKCU\...\RUN下有一个病毒启动项,删除即可....
这时就出现上面所说的情况了,部分文件删不掉
(别用第三放删除工具,病毒会让它失效.我的UNLOCK就被它弄没了....)
剩下的 3个文件死活删不掉:
2个删不了,一个删了马上恢复:
这时候用到下面的内容:
文件替换来搞定它:
对于结束系统进程也删不掉的文件,还可以这样:
对病毒文件重命名,建立和病毒同名文件,并加上系统属性:
[Copy to clipboard]CODE:
@echo off
taskkill /f /im explorer.exe
explorer.exe
exit
但对于这个DLL文件还一直没搞明白: cyptimg.exe 或者 cyptig.dll(病毒可能2个都生成,可能只生成一个,因为我做了2次实验,文件有变化...)
建立同名文件后的效果:
防止病毒运行时候更改,也就到达目的了...
=====================================================================================
接下来是重新启动,这时候可以打开任务管理器,其中也没有病毒进程!
主要就是修复被感染的.exe文件了,
其实现在就可以结束了,因为病毒发挥不了作用.你运行程序时候病毒自己脱壳,不能更改C:\WINDOWS\SYSTEM32\DRIVERS下的同名病毒文件,所以病毒就消失了,同时还原原来的.exe程序
不过对于修复.exe文件,可以用上现在的专杀工具了....
如果想彻底赶走病毒的残留,你就要花时间把你的所有可执行文件都运行一遍,让病毒脱壳释放出来,
然后再删除你建立的通明病毒文件...
个人觉得留着这些同名文件还可以起到预防作用.....
效果显著 ...
PS: 昨天晚上由于快停电了,所以有点忘了说:
该变种会在每个exe文件下生成 desktop_.ini,内容为感染日期
这个我忘了截图,直接用 del /desktop_.ini /F/S/A/Q 即可完全清除!
联合网报-给你能用的信息-blog.uir.eb.cn
买QQ@杭州-buyqq.588.net-安全放心购买诚信为您服务
家在杭州
杭州学车信息网
月饼-自言自语 生生不息
