下沙论坛

标题: [公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精] [打印本页]

作者: Eagle 时间: 2004-10-26 20:48
标题: [公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]
病毒文件名：我的相册.exe
程序大小：44K
编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：无
程序运行过程：
1、先获取当前运行文件的文件名(GetModuleFileNameA)，
2、获取Windows路径名(GetWindowsDirectoryA)(设此值为strWindows)
3、获取System路径名(GetSystemDirecoryA)(设此值为strSystem)
4、更改注册表值：\HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersio\run的默认数据为strSystem + "SVCH0ST.EXE"，注意，其中的那个是数字0而不是字母O，这儿用的是大写字母来混淆。
5、检查文件strSystem+"\SVCH0ST.EXE"和文件strWindows+"\help\SVCH0ST.EXE"是否存在，如果不存在，则复制自身为strSystem+"\SVCH0ST.EXE"和strWindows+"\help\SVCH0ST.EXE"，然后出现一个消息对话框，标题：Windows任务管理器，内容：文件已损坏。如果文件存在，则跳过此步骤
6、枚举系统中所有的逻辑驱动器，并判断其类型，如果该驱动器为可写的移动存储器，则复制自身到该驱动器名为“我的相册.exe”
7、更改CHM类型文件的关联为strWindows+"\help\SVCH0ST.EXE"
8、建立Timer事件，一共有三个Timer实例，
一个在不停的检查机器的时间，在特定的时间出现对话框，一些无聊的信息;
一个在重复做着1～6的流程;
一个在读注册表HKEY_CURRENT_USER\Software\OneWave\NetClient
HKEY_CURRENT_USER\Software\OneWave\NetClient\Setting

对于计量后院给出的专杀工具的分析：
文件名：100708.exe
程序大小：22.5K
编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
程序只是简单在进程中查找标题为“Windows任务管理器”的进程，并结束它。然后寻找并删除感染文件，修复注册表。
我的专杀工具的说明：
文件名：MyPhoto_Hunter.exe
程序大小：13.5K
编程语言：Microsoft Visual C++ 6.0
加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
使用信息摘要技术验证病毒，杀毒过程有详细的信息反馈，并可以对指定的磁盘进行全面杀毒。

作者: Eagle 时间: 2004-10-26 20:50
重做了这个程序，
修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。
【点击这儿下载】

[此贴子已经被作者于2004-11-6 9:40:50编辑过]

作者: 煎饼 时间: 2004-10-26 23:18
晕，贴图区可以上传，这里没有开放，我开放下

作者: 游侠无极限 时间: 2004-10-26 23:26

哇，终于有高人出现了

问个问题，为什么不用VS.Net 2003，我觉得挺好的，起码比VS6.0强吧~还中文……

作者: Eagle 时间: 2004-10-27 00:08

回楼上的，习惯了用6.0了。

这个东西做得比较急，晚饭后赶出来的。全面杀毒那个模块没有出错处理，所以偶尔也会有尝试打开不存在的文件的错误导致程序崩溃的。

作者: 游侠无极限 时间: 2004-10-27 15:51

MXRDI4QF.rar (1.64 KB, 下载次数: 329)
习作：
微型“我的相册”专杀工具
大小：4096 btyes(1642 btyes use winrar)
作用：
1、结束病毒进程
2、删除2处的病毒文件
3、恢复chm文件的正确关联
4、去除病毒的启动项目
就占用你FAT32的一个簇！

[此贴子已经被作者于2004-10-27 16:01:39编辑过]

qUI1MUny.rar

1.6 KB, 下载次数: 115, 下载积分: 下沙币 -1 元

[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]

作者: 游侠无极限 时间: 2004-10-27 18:18
最后为按回车结束，搞错了

作者: Eagle 时间: 2004-10-27 20:43

我先说一下我的程序,我的程序在查杀内存病毒的时候,也会出现打开不存在的文件的错误.一会儿我回去看看我的代码.

我分析了6楼的那个程序,应该是用汇编语言编的吧,做得不错,但也只能对特定位置杀毒,对进程中的病毒查杀也只是根据它的文件名,我认为这不好,万一那个病毒是从别的地方运行呢?进程名为:我的相册.exe呢?

作者: 游侠无极限 时间: 2004-10-27 22:02

我就是按照文件的感染过程做的逆过程，另一方面也是本身水平限制

虽然可能会有进程名为 XXX.exe的时候，但他在启动项目里添加的文件名是固定的，那它发作用的文件名必定是这个svch0st.exe，否则启动项目无意义

最后也只要是怕麻烦了，也想不出什么好办法

作者: Eagle 时间: 2004-10-28 10:21
标题: 更新“我的相册”病毒的专杀工具

bwR5kJz6.rar (10.52 KB, 下载次数: 449)
修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。

作者: 等待爱飞翔 时间: 2004-11-3 23:14
多谢了，偶的电脑已经没事了，太感谢了

作者: jijibaba 时间: 2004-11-14 01:27

作者: lang1984 时间: 2004-11-14 17:41

干嘛非要用杀毒软件杀它啊！只要在SYSTEM32的目录下面把它删掉就OK了！

只要先在任务管理把它关掉就可以删了，只要不删错就行！

作者: 游侠无极限 时间: 2004-11-14 18:15

这里的就是代替你手动罢了

还有你注册表没有忘记恢复吧

作者: 手心空洞 时间: 2004-11-18 14:48
提示: 作者被禁止或删除内容自动屏蔽

作者: 格里风 时间: 2004-11-18 15:18

真好

作者: Eagle 时间: 2004-11-19 12:54
为什么格里风给我一种很亲切的感觉呢？

作者: amw 时间: 2004-11-28 15:24
提示: 作者被禁止或删除内容自动屏蔽

作者: 小笨狗 时间: 2004-12-1 15:21
这个病毒我U盘上也出现过，不知道哪里来的，被我在第一时间发现格掉了，然后就好了～～～～～·

作者: 笑衫笑 时间: 2004-12-30 22:36
提示: 作者被禁止或删除内容自动屏蔽

作者: Eagle 时间: 2005-1-9 13:17
把它顶上去。死人，怎么不置顶了啊？

作者: feitzx 时间: 2005-1-21 16:49
提示: 作者被禁止或删除内容自动屏蔽

作者: ho_hk 时间: 2005-2-6 20:18
特别感谢楼主，我的电脑可是连接的很重要的东西，虽然这个病毒不是很厉害，但是很烦
特别感谢。

作者: fire_1234 时间: 2007-2-5 10:16
好

作者: Eagle 时间: 2007-2-5 17:55
貌似最近有人捞尸体。

作者: 刹那公子 时间: 2007-2-9 16:17
看见高手的尸体 

作者: 哀之伤痕 时间: 2007-2-26 22:58
路过~~~~

作者: lishufeng 时间: 2007-3-2 13:56
哈哈哈啊

欢迎光临下沙论坛 (http://bbs.xiasha.cn/)