最新国产亚洲人成无码网站,国产女主播喷水视频在线观看

0x01樣本信息:大小:779776字節(jié)文件版本:1.0.0.0修改時(shí)間:2016年2月4日,18:14:30MD5:0173975B7984285E9B6C31CC85B5072FSHA
0x01樣本信息:
大小: 779776 字節(jié)
文件版本: 1.0.0.0
修改時(shí)間: 2016年2月4日, 18:14:30
MD5: 0173975B7984285E9B6C31CC85B5072F
SHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E
CRC32: 9896B2FF
0x02感染后主要特征:
對(duì)比下任務(wù)管理器，發(fā)現(xiàn)所有用戶進(jìn)程全部被新建了個(gè)XXX加強(qiáng)版.exe

過了一小會(huì)，任務(wù)管理器被日。。。日了。。

好吧，現(xiàn)在所有病毒都會(huì)想辦法干掉任務(wù)管理器，人之常情。
釋放自身到某進(jìn)程存在的目錄并更名為XXX加強(qiáng)版.exe

開始簡(jiǎn)單的分析吧，查了下殼，SE2.3.2的殼

OD跑了下證明了是這個(gè)殼

瞬間不想搞了，脫殼時(shí)間比運(yùn)行下還要慢，算了，主動(dòng)運(yùn)行分析吧。。
0x03病毒主要操作:
1.枚舉當(dāng)前進(jìn)程并獲取非系統(tǒng)級(jí)別的進(jìn)程名，根據(jù)進(jìn)程名創(chuàng)建文件【XXX加強(qiáng)版】到對(duì)應(yīng)目錄下。
2.注冊(cè)表添加
HKEY_CURRENT_USER\\\\Software\\Microsoft\\GDIPlus
[FontCachePath] = [%USERPROFILE%\\Local Settings\\Application Data]
HKEY_CURRENT_USER\\\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
[%ProgramFiles%\\ksafe] = [%ProgramFiles%\\ksafe\\ksafetray加強(qiáng)版.exe]
[%system%] = [%system%\\spoolsv加強(qiáng)版.exe]
[%ProgramFiles%\\Tencent\\地下城與勇士] = [%ProgramFiles%\\Tencent\\地下城與勇士\\dnf加強(qiáng)版.exe]
[%ProgramFiles%\\Tencent\\QQ] = [%ProgramFiles%\\Tencent\\QQ\\QQ加強(qiáng)版.exe]
【crossfireexe crossfireexe找不到入口】[%ProgramFiles%\\Tencent\\CrossFire] = [%ProgramFiles%\\Tencent\\CrossFire\\crossfire加強(qiáng)版.exe]
其中Run是開機(jī)自啟動(dòng)的。
3.嘗試調(diào)用taskkill結(jié)束殺軟進(jìn)程【特指：360tray.exe、KSafeTray.exe】【PS：作者你是不是NC啊。。。360自保護(hù)你開玩笑用taskkill結(jié)束。。】
4.復(fù)制自身到其他目錄（如果目錄存在）
%ProgramFiles%\\360Safe\\360tray加強(qiáng)版.exe
%ProgramFiles%\\360Safe\\zhudongfangyu加強(qiáng)版.exe
%ProgramFiles%\\LOL王者輔助加強(qiáng)版.exe
%ProgramFiles%\\Tencent\\CrossFire\\crossfire加強(qiáng)版.exe
%ProgramFiles%\\Tencent\\QQ\\QQ加強(qiáng)版.exe
%ProgramFiles%\\Tencent\\地下城與勇士\\dnf加強(qiáng)版.exe
%ProgramFiles%\\ksafe\\ksafetray加強(qiáng)版.exe
%system%\\alg加強(qiáng)版.exe
%system%\\conime加強(qiáng)版.exe
%system%\\ctfmon加強(qiáng)版.exe
%system%\\lsass加強(qiáng)版.exe
%system%\\services加強(qiáng)版.exe
%system%\\smss加強(qiáng)版.exe
%system%\\spoolsv加強(qiáng)版.exe
%system%\\svchost加強(qiáng)版.exe
5.反調(diào)試【檢測(cè)進(jìn)程關(guān)鍵字：OllyDbg.exe】
6.覆蓋掉原有的GDIPFONTCACHEV1.DAT【C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\GDIPFONTCACHEV1.DAT】
7.枚舉當(dāng)前熱門游戲進(jìn)程，發(fā)現(xiàn)就結(jié)束，并且提示：你不小心打開了XXX【XXX為游戲名字】，現(xiàn)已幫你關(guān)閉
0x04解決方案：
1.由于病毒運(yùn)行后的特征是對(duì)當(dāng)前進(jìn)程創(chuàng)建XXX加強(qiáng)版.exe，所以可以考慮用批處理批量結(jié)束帶“加強(qiáng)版”這個(gè)關(guān)鍵字的進(jìn)程，最好多結(jié)束幾次防止其再次運(yùn)行。
2.病毒【或者說惡作劇軟件】沒有反冰刃、XueTr這類驅(qū)動(dòng)級(jí)進(jìn)程管理器，所以我們可以用他們強(qiáng)制結(jié)束并刪除XXX加強(qiáng)版.exe 。