扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
流氓软件,恶意篡改主页等,近来发展飞跃,技术含量翻了几翻,特别是流氓之中最为恶劣最为变态的MY123.COM,恶意篡改主页为MY123.COM,难以杀除,网上虽有一些分析帖子,但都是需要一定的基础,我们小菜只能去学习重装系统了吗?不!我是恶棍我怕谁!
跟着小G我一步一步来吧!
首先需要提及几点关于这个流氓的行为:它会生成随机名字[八位包含数字和字母组合]的SYS和DLL文件分别放置与SYSTEM32和DRIVERS文件夹。DLL文件插入SYSTEM和EXPLORER进程空间[见图1],进行保护,如果检测没有驱动,则会自动释放出驱动,然后加载。同时这个DLL具有网络下载升级功能。SYS文件则实现暴力修改主页,暴力写入服务,使用自身文件独占.及句柄检测保护模块等功能来进行流氓行为,赖着不走。
图1
由于这个流氓只有2个文件:DLL和SYS文件。看起来.简单,但它使用随机文件名,我们怎么确定那个是MY123呢?
图2
我们找来AUTORUNS这个软件。它也是手工杀毒必不可少的利器。运行这个软件,等扫描完毕后,我们打开菜单栏里的选项,点击检验数字签名和隐藏有微软签名的项目,把勾打上以后,我们点驱动那一栏,然后按F5刷新,就可以看到没有通过微软认证的驱动了。见[图2],看清楚了。里面括号里写着未核实,后面却写着微软的签名,我这里因为.是我自己添加的驱动,我命名为MY123方便识别,大家的应该是随机名.字[八位包含数字和字母组合]。找到这个驱动以后,把路径里的SYS程序名字记起来,这个就是MY123的SYS驱动文件了,我们从这里入手。
图3
接着,运行以前介绍过的Process Explorer。找到SYSTEM这个进程。双击它。出现属性窗口。点击线程选项。在里面寻找刚才找到的SYS文件名。见[图3]然后把那3个病毒SYS的线程都选中,一一点击挂起。这时候,实现暴力重写注册表和服务还有保护自身的线程被挂起了,我们打开又一个手杀利器—Unlocker,然后找到.那个SYS文件,对准它点右键,选择Unlocker,然后选择全部解锁。操作完成以后,我们再找来POWERRMV[费尔强力删除],在路径里输入SYS文件的路径,然后点抑制再生,然后再点杀灭。见[图4]。至此,SYS文件就已经铲除完毕,不愧是变态流氓,费了这么大的劲才删除了驱动。
图4
接下来我们来删除DLL文件。我们.在AUTORUNS里面把MY123的驱动的启动项目去掉以后,就可以重起了。MY123.COM这个流氓有好几个版本,有的版本在进行上述操作后重起出现加载MY123.DLL时出错,找不到指定模块的提示。假如没有,那我们就要借助SSM了。
在重起后进入桌面,SSM在这时会提示DLL注入,注意。记起路径和文件名,正是MY123.COM的DLL。见[图5]这个版本不是利用SYS加载DLL的。而是利用RUNDLL32.exe来加载,启动项目在注册表.可以找到。我们先在警报窗.口点阻止。然后到AUTORUNS找这个启动项目,也可以到注册表搜索你记住的DLL名字。然后删除之即可。
图5
顺利完成所有操作以后。大流氓MY123.COM已经完全滚出你的电脑了!我们可以对着电脑大喊:“我是恶棍我怕谁!”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者