下沙论坛 › 科技．电脑网络 › [公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]

Eagle 发表于 2004-10-26 20:48:00

[公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]

病毒文件名：我的相册.exe
程序大小：44K
编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：无
程序运行过程：
1、先获取当前运行文件的文件名(GetModuleFileNameA)，
2、获取Windows路径名(GetWindowsDirectoryA)(设此值为strWindows)
3、获取System路径名(GetSystemDirecoryA)(设此值为strSystem)
4、更改注册表值：\HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersio\run的默认数据为strSystem + "SVCH0ST.EXE"，注意，其中的那个是数字0而不是字母O，这儿用的是大写字母来混淆。
5、检查文件strSystem+"\SVCH0ST.EXE"和文件strWindows+"\help\SVCH0ST.EXE"是否存在，如果不存在，则复制自身为strSystem+"\SVCH0ST.EXE"和strWindows+"\help\SVCH0ST.EXE"，然后出现一个消息对话框，标题：Windows任务管理器，内容：文件已损坏。如果文件存在，则跳过此步骤
6、枚举系统中所有的逻辑驱动器，并判断其类型，如果该驱动器为可写的移动存储器，则复制自身到该驱动器名为“我的相册.exe”
7、更改CHM类型文件的关联为strWindows+"\help\SVCH0ST.EXE"
8、建立Timer事件，一共有三个Timer实例，
一个在不停的检查机器的时间，在特定的时间出现对话框，一些无聊的信息;
一个在重复做着1～6的流程;
一个在读注册表HKEY_CURRENT_USER\Software\OneWave\NetClient
HKEY_CURRENT_USER\Software\OneWave\NetClient\Setting

对于计量后院给出的专杀工具的分析：
文件名：100708.exe
程序大小：22.5K
编程语言：Microsoft Visual Basic 5.0 / 6.0
加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
程序只是简单在进程中查找标题为“Windows任务管理器”的进程，并结束它。然后寻找并删除感染文件，修复注册表。
我的专杀工具的说明：
文件名：MyPhoto_Hunter.exe
程序大小：13.5K
编程语言：Microsoft Visual C++ 6.0
加密壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
使用信息摘要技术验证病毒，杀毒过程有详细的信息反馈，并可以对指定的磁盘进行全面杀毒。

Eagle 发表于 2004-10-26 20:50:00

重做了这个程序，
修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。
【点击这儿下载】
[此贴子已经被作者于2004-11-6 9:40:50编辑过]

煎饼 发表于 2004-10-26 23:18:00

晕，贴图区可以上传，这里没有开放，我开放下

游侠无极限 发表于 2004-10-26 23:26:00

<P>哇，终于有高人出现了</P><P>问个问题，为什么不用VS.Net 2003，我觉得挺好的，起码比VS6.0强吧~还中文……</P>

Eagle 发表于 2004-10-27 00:08:00

<P>回楼上的，习惯了用6.0了。</P><P>这个东西做得比较急，晚饭后赶出来的。全面杀毒那个模块没有出错处理，所以偶尔也会有尝试打开不存在的文件的错误导致程序崩溃的。</P>

游侠无极限 发表于 2004-10-27 15:51:00

习作：
微型“我的相册”专杀工具
大小：4096 btyes(1642 btyes use winrar)
作用：
1、结束病毒进程
2、删除2处的病毒文件
3、恢复chm文件的正确关联
4、去除病毒的启动项目
就占用你FAT32的一个簇！
[此贴子已经被作者于2004-10-27 16:01:39编辑过]

游侠无极限 发表于 2004-10-27 18:18:00

最后为 按回车 结束，搞错了

Eagle 发表于 2004-10-27 20:43:00

<P>我先说一下我的程序,我的程序在查杀内存病毒的时候,也会出现打开不存在的文件的错误.一会儿我回去看看我的代码.</P><P>我分析了6楼的那个程序,应该是用汇编语言编的吧,做得不错,但也只能对特定位置杀毒,对进程中的病毒查杀也只是根据它的文件名,我认为这不好,万一那个病毒是从别的地方运行呢?进程名为:我的相册.exe呢?</P>

游侠无极限 发表于 2004-10-27 22:02:00

<P>我就是按照文件的感染过程做的逆过程，另一方面也是本身水平限制</P><P>虽然可能会有进程名为 XXX.exe的时候，但他在启动项目里添加的文件名是固定的，那它发作用的文件名必定是这个svch0st.exe，否则启动项目无意义</P><P>最后也只要是怕麻烦了，也想不出什么好办法</P>

Eagle 发表于 2004-10-28 10:21:00

更新“我的相册”病毒的专杀工具

修正了对特权进程打开出错的BUG，修正了对大批量文件进行查杀时会打开文件出错的BUG。以后有机会优化一下代码再公布。

等待爱飞翔 发表于 2004-11-3 23:14:00

多谢了，偶的电脑已经没事了，太感谢了

jijibaba 发表于 2004-11-14 01:27:00

lang1984 发表于 2004-11-14 17:41:00

<P>干嘛非要用杀毒软件杀它啊！只要在SYSTEM32的目录下面把它删掉就OK了！</P><P>只要先在任务管理把它关掉就可以删了，只要不删错就行！</P>

游侠无极限 发表于 2004-11-14 18:15:00

<P>这里的就是代替你手动罢了</P><P>还有你注册表没有忘记恢复吧</P>

手心空洞 发表于 2004-11-18 14:48:00

太谢谢楼主了，金山独霸根本没用，万能精灵，木马克星也杀不掉，谢谢谢谢～～～

格里风 发表于 2004-11-18 15:18:00

真好

Eagle 发表于 2004-11-19 12:54:00

为什么格里风给我一种很亲切的感觉呢？

amw 发表于 2004-11-28 15:24:00

<P>我也中了…………</P>

小笨狗 发表于 2004-12-1 15:21:00

这个病毒我U盘上也出现过，不知道哪里来的，被我在第一时间发现格掉了，然后就好了～～～～～·

笑衫笑 发表于 2004-12-30 22:36:00

<P>两位高手真是厉害</P><P>好佩服！</P>

查看完整版本: [公告]关于计量后院病毒“我的相册”的分析及其专杀工具[希望置顶，但不要加精]