[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]

Eagle

病毒文件名：我的相册.exe
$ g, H) R+ U# t- p& v7 g7 f程序大小：44K
7 u3 R. N7 p2 N7 n% s编程语言：Microsoft Visual Basic 5.0 / 6.0
% v$ b+ a! Z, Z5 @加密壳：无
程序运行过程：
) m/ s/ B5 A& Z+ l8 D1、先获取当前运行文件的文件名(GetModuleFileNameA)，
2、获取Windows路径名(GetWindowsDirectoryA)(设此值为strWindows)
. u9 N5 e. v2 F# n5 i9 Z" J$ r3、获取System路径名(GetSystemDirecoryA)(设此值为strSystem)
; d) A/ Y* \7 e- ?$ q  b4、更改注册表值：\HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersio\run的默认数据为strSystem + "SVCH0ST.EXE"，注意，其中的那个是数字0而不是字母O，这儿用的是大写字母来混淆。
5、检查文件strSystem+"\SVCH0ST.EXE"和文件strWindows+"\help\SVCH0ST.EXE"是否存在，如果不存在，则复制自身为strSystem+"\SVCH0ST.EXE"和strWindows+"\help\SVCH0ST.EXE"，然后出现一个消息对话框，标题：Windows任务管理器，内容：文件已损坏。如果文件存在，则跳过此步骤
6、枚举系统中所有的逻辑驱动器，并判断其类型，如果该驱动器为可写的移动存储器，则复制自身到该驱动器名为“我的相册.exe”
1 f4 m; n7 p, _( E' L, O4 v. S$ I7、更改CHM类型文件的关联为strWindows+"\help\SVCH0ST.EXE"
, U: Q" `0 m  A, A% V8、建立Timer事件，一共有三个Timer实例，
3 h4 Z  w2 N" R  T) i% ~一个在不停的检查机器的时间，在特定的时间出现对话框，一些无聊的信息;
一个在重复做着1～6的流程;
一个在读注册表HKEY_CURRENT_USER\Software\OneWave\NetClient
HKEY_CURRENT_USER\Software\OneWave\NetClient\Setting

$ ?, F8 R7 h* r对于计量后院给出的专杀工具的分析：
- B& j/ C, X9 T% Z( u9 A- X文件名：100708.exe
& M1 \: A7 _4 q) w8 s+ u5 X7 V/ |程序大小：22.5K
& K: |. R/ ]7 ]9 \6 j编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
程序只是简单在进程中查找标题为“Windows任务管理器”的进程，并结束它。然后寻找并删除感染文件，修复注册表。
$ p; l: i9 E% Z/ E9 i4 f& D我的专杀工具的说明：
文件名：MyPhoto_Hunter.exe
7 Z6 _! `" C1 V程序大小：13.5K
编程语言：Microsoft Visual C++ 6.0
' \8 {: b$ W! h% c加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
使用信息摘要技术验证病毒，杀毒过程有详细的信息反馈，并可以对指定的磁盘进行全面杀毒。
5 y7 N2 Q2 x; p9 k- S6 x$ j, `

Eagle

重做了这个程序，
4 J" w$ ~3 R, i0 S3 P6 g" C6 I7 P修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。
" ~0 e( c' w( P【点击这儿下载】
: F8 O- S( [- Z

[此贴子已经被作者于2004-11-6 9:40:50编辑过]

煎饼

晕，贴图区可以上传，这里没有开放，我开放下

游侠无极限

哇，终于有高人出现了

问个问题，为什么不用VS.Net 2003，我觉得挺好的，起码比VS6.0强吧~还中文……

Eagle

回楼上的，习惯了用6.0了。

这个东西做得比较急，晚饭后赶出来的。全面杀毒那个模块没有出错处理，所以偶尔也会有尝试打开不存在的文件的错误导致程序崩溃的。

游侠无极限

MXRDI4QF.rar (1.64 KB, 下载次数: 329)

2004-10-27 16:02 上传

点击文件名下载附件
下载积分: 下沙币 -1 元

习作：
  I2 s, C. R" F- V& o$ Q$ `微型“我的相册”专杀工具
; r, r1 H( I$ b$ c$ L4 d大小：4096 btyes(1642 btyes use winrar)
作用：
6 |' h/ p5 F0 k, l' C( O0 b- `; e7 I* l1、结束病毒进程
2、删除2处的病毒文件
3、恢复chm文件的正确关联
4、去除病毒的启动项目
就占用你FAT32的一个簇！

[此贴子已经被作者于2004-10-27 16:01:39编辑过]

游侠无极限

最后为 按回车 结束，搞错了

Eagle

我先说一下我的程序,我的程序在查杀内存病毒的时候,也会出现打开不存在的文件的错误.一会儿我回去看看我的代码.

我分析了6楼的那个程序,应该是用汇编语言编的吧,做得不错,但也只能对特定位置杀毒,对进程中的病毒查杀也只是根据它的文件名,我认为这不好,万一那个病毒是从别的地方运行呢?进程名为:我的相册.exe呢?

游侠无极限

我就是按照文件的感染过程做的逆过程，另一方面也是本身水平限制

虽然可能会有进程名为 XXX.exe的时候，但他在启动项目里添加的文件名是固定的，那它发作用的文件名必定是这个svch0st.exe，否则启动项目无意义

最后也只要是怕麻烦了，也想不出什么好办法

Eagle

bwR5kJz6.rar (10.52 KB, 下载次数: 449)

2004-10-28 10:19 上传

点击文件名下载附件
[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]
下载积分: 下沙币 -1 元

0 d* x0 [0 I) i, \. [! H; S) S修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。

等待爱飞翔

多谢了，偶的电脑已经没事了，太感谢了

jijibaba

lang1984

干嘛非要用杀毒软件杀它啊！只要在SYSTEM32的目录下面把它删掉就OK了！

只要先在任务管理把它关掉就可以删了，只要不删错就行！

游侠无极限

这里的就是代替你手动罢了

还有你注册表没有忘记恢复吧

太谢谢楼主了，金山独霸根本没用，万能精灵，木马克星也杀不掉，谢谢谢谢～～～

格里风

真好

Eagle

为什么格里风给我一种很亲切的感觉呢？

我也中了…………

小笨狗

这个病毒我U盘上也出现过，不知道哪里来的，被我在第一时间发现格掉了，然后就好了～～～～～·

两位高手真是厉害

好佩服！