这次增加了恶意弹出广告、安装为 OCX 等等新“功能”。
我的 Vista 中了。正好,没开 UAC,没开 HIPS,没开实时监控,连 Windows Defender 也没开。
原因是清新阳光(好同志啊,每次都把最新样本给我)传给我样本之后我解压完就去吃饭了,
期间某三岁小朋友很和谐地敲了敲我可爱的笔记本上的几个键,不用说,肯定包括回车键,
谁叫回车键那么漂亮……
花了 20 分钟清除。其中 5 分钟给瑞星专杀几次尝试机会,5 分钟手杀,5 分钟等待(电脑卡死),
5 分钟重启。清新阳光说瑞星检测不到,但这个刚下载的瑞星专杀还是检测到了。一堆一堆的,但一个都杀不死。
连续测试了几次,放弃之。
用 ps.exe 干掉所有的 dnsq.dll,用 5 分钟等待电脑响应并将所有出错的程序关闭。
为什么呢?!
事情的经过是这样的,病毒启动时会往所有进程里注入 dnsq.dll,此 DLL 会挂钩几个 API 函数。
当此 DLL 被干掉之后,程序再调用这些 API 就会访问无效内存,因此被内核判为正在执行非法操作而杀掉。
当然,在开了 DEP 的电脑这些程序则是被 DEP 干掉的。因为 DEP 会认为发生了缓冲区溢出。
总而言之呢,一堆程序已经被干掉了。所以我们继续。
下面就可以用老一套杀死 smss.exe、lsass.exe 之类的了。
然后用命令提示符改掉 %SystemRoot%\System32\com 下的相关文件属性,删除之。
这次还包括两个估计是负责弹出窗口的程序,netcfg.dll/netcfg.000。
重启,然后用 SREng 之类的把能修复的都修复了。用瑞星专杀扫一遍也是不错的选择。
1.基本的反特征码扫描和反静态分析
程序资源全部经过简单加密。加密方法是从第二个字节开始进行逐字节取反(C++ 里的 ~ 运算符)。
程序硬编码的字符串全部简单变换。变换方法是全部采用 ASCII 码,
在运行时再使用 CString__Format 动态还原。
例如下面这样:
__Format(
&String,
"%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c%c",
115,
104,
101,
108,
108,
92,
111,
112,
101,
110,
92,
67,
111,
109,
109,
97,
110,
100,
61,
112,
97,
103,
101,
102,
105,
108,
101,
46,
112,
105,
102);
随便用一个十六进制编辑器就可以解出来了。
2.新增了盈利手段
通过强制弹出广告窗口给作者带来收入。
3.注册为 OCX
非常棒的自启动手段。
还有许多小升级,就不逐一指出了。
看了一下瑞星的专杀,也还是不错的。
自带了 API Hook 恢复引擎,同时对自己和其它进程进行恢复,避免干掉 dnsq.dll 时造成程序出错。
还有非常聪明的以毒攻毒手段。呵呵,非常有针对性。
还有比较贴心的一点是这个专杀不会改变文件的最后修改时间。
理论上这个专杀应该是没有什么问题的,不知道为啥在我这里不起作用。改天再仔细研究。
www.newjian.com
您的位置: