funny.exe运行后会复制4个副本到系统目录。其中3个副本被启动,并且互相守护,一般杀进程的工具很难杀掉。反正偶木有杀掉。
作者:noctwolf 来源:dreamLand
funny.exe运行后会复制4个副本到系统目录。其中3个副本被启动,并且互相守护,一般杀进程的工具很难杀掉。反正偶木有杀掉。
第4个副本userinit32.exe为了隐蔽自己,没有启动。会在windows启动时加载。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit的值正常本来是C:\WINDOWS\system32\userinit.exe,但是被funny修改成了C:\WINDOWS\system32\userinit32.exe,
rundll32.exe也就在启动时加载
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的
MMSystem=c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32
其实后面的mmsystem.dll是ms原装的不含病毒的文件,病毒这样写是为了迷惑用户。
分析的结果基本就是这样了,其实rundll32.exe的加载我一开始就没有发现,但是xp sp2新增加的特性帮助了我。
手动处理经过:
1、首先用TaskInfo2003发现3个进程互相守护。
2、搜索windows目录发现还有一个userinit32.exe文件和其他3个互相守护的进程完全相同,推测是为了隐蔽加载。
3、在注册表中搜索userinit32.exe,果然发现。去掉32后重新启动计算机。
4、启动后xp sp2提示rundll32.exe没有验证,询问是否运行,选择取消。
5、删除4个病毒副本。
6、删除假冒的rundll32.exe的加载项,就是注册表里run下的mmsystem。
多谢sutlt提醒,病毒修改了hosts,请自行修复。一般情况只保留第一行就行了。
网友评论