[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]

Eagle

病毒文件名：我的相册.exe
程序大小：44K
' B2 N& H6 s' A+ V+ u7 ]3 U编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：无
8 m$ r! [7 r  `& |程序运行过程：
1、先获取当前运行文件的文件名(GetModuleFileNameA)，
# e4 P% H, ^, e( K8 m2、获取Windows路径名(GetWindowsDirectoryA)(设此值为strWindows)
7 r/ {4 [4 ~4 z' B, r3、获取System路径名(GetSystemDirecoryA)(设此值为strSystem)
$ g# E/ N& J9 k$ b5 K* }. S4、更改注册表值：\HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersio\run的默认数据为strSystem + "SVCH0ST.EXE"，注意，其中的那个是数字0而不是字母O，这儿用的是大写字母来混淆。
8 O3 T8 |3 v' l6 b3 X5、检查文件strSystem+"\SVCH0ST.EXE"和文件strWindows+"\help\SVCH0ST.EXE"是否存在，如果不存在，则复制自身为strSystem+"\SVCH0ST.EXE"和strWindows+"\help\SVCH0ST.EXE"，然后出现一个消息对话框，标题：Windows任务管理器，内容：文件已损坏。如果文件存在，则跳过此步骤
6、枚举系统中所有的逻辑驱动器，并判断其类型，如果该驱动器为可写的移动存储器，则复制自身到该驱动器名为“我的相册.exe”
. Y: u+ X- k, y+ t* ]7、更改CHM类型文件的关联为strWindows+"\help\SVCH0ST.EXE"
; b7 Q. J. Z: l4 ~7 C5 ~* h1 j8、建立Timer事件，一共有三个Timer实例，
一个在不停的检查机器的时间，在特定的时间出现对话框，一些无聊的信息;
一个在重复做着1～6的流程;
' M/ P; n7 M( e5 `; p一个在读注册表HKEY_CURRENT_USER\Software\OneWave\NetClient
HKEY_CURRENT_USER\Software\OneWave\NetClient\Setting

5 m+ P# s% Z5 b, z  _* ?对于计量后院给出的专杀工具的分析：
5 v8 x# Z# u  ]9 M( Q; c$ V3 @) U文件名：100708.exe
0 p/ l3 A0 g, J( y$ k* n程序大小：22.5K
: o* d$ |) y9 J  D3 v$ D9 S: _编程语言：Microsoft Visual Basic 5.0 / 6.0
% Y( @. m2 n9 @% x加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
% W* e2 q% B( M+ h程序只是简单在进程中查找标题为“Windows任务管理器”的进程，并结束它。然后寻找并删除感染文件，修复注册表。
我的专杀工具的说明：
# q4 o0 o" d2 Q3 ]5 w. k6 j+ ^) }文件名：MyPhoto_Hunter.exe
程序大小：13.5K
编程语言：Microsoft Visual C++ 6.0
5 g8 B3 g5 g: n5 T, s8 j加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
使用信息摘要技术验证病毒，杀毒过程有详细的信息反馈，并可以对指定的磁盘进行全面杀毒。
- {3 u8 d6 |) E+ s

lishufeng

哈哈哈啊

哀之伤痕

路过~~~~

刹那公子

看见高手的尸体 

Eagle

貌似最近有人捞尸体。

fire_1234

好

ho_hk

特别感谢楼主，我的电脑可是连接的很重要的东西，虽然这个病毒不是很厉害，但是很烦
特别感谢。

以下是引用lang1984在2004-11-14 17:41:00的发言： 0 ]6 O7 e- I1 f) f. Y ) \9 P! `% F* t. n) Z

干嘛非要用杀毒软件杀它啊！只要在SYSTEM32的目录下面把它删掉就OK了！

只要先在任务管理把它关掉就可以删了，只要不删错就行！

7 _1 ?( X- C/ b. W$ ^ # c5 z P6 i3 p任务管理器里面是哪个进程？ 还有如何回复注册表？

Eagle

把它顶上去。死人，怎么不置顶了啊？

两位高手真是厉害

好佩服！

小笨狗

这个病毒我U盘上也出现过，不知道哪里来的，被我在第一时间发现格掉了，然后就好了～～～～～·

我也中了…………

Eagle

为什么格里风给我一种很亲切的感觉呢？

格里风

真好

太谢谢楼主了，金山独霸根本没用，万能精灵，木马克星也杀不掉，谢谢谢谢～～～

游侠无极限

这里的就是代替你手动罢了

还有你注册表没有忘记恢复吧

lang1984

干嘛非要用杀毒软件杀它啊！只要在SYSTEM32的目录下面把它删掉就OK了！

只要先在任务管理把它关掉就可以删了，只要不删错就行！

jijibaba

等待爱飞翔

多谢了，偶的电脑已经没事了，太感谢了

Eagle

bwR5kJz6.rar (10.52 KB, 下载次数: 449)

2004-10-28 10:19 上传

点击文件名下载附件
[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]
下载积分: 下沙币 -1 元

; U/ V7 J, J9 x# a( e修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。