今天群里一个朋友说中了病毒,winsecup。(网上说是熊猫变种,变个鬼头,干脆也把蠕虫叫做熊猫变种好了.)根据朋友的描述---内网传播,有许多不明的对外连接----应该是下载者或者是为了赚流量的流氓程序.要过来在 ...
今天群里一个朋友说中了
病毒,winsecup。(网上说是熊猫变种,变个鬼头,干脆也把蠕虫叫做熊猫变种好了.)
根据朋友的描述---内网传播,有许多不明的对外连接----应该是
下载者或者是为了赚流量的流氓程序.
要过来在
虚拟机上测试,真是个温顺的小猫,居然有自己的进程(我更加确信是个具有病毒功能的流氓软件而已,否则,这病毒的制作者就是超级笨蛋+超级没病毒常识+超级......)
结束掉它的进程,发现进程会自动恢复,一定是还插了别的进程.
下面开始:
结束explorer(几乎所有的
木马都是插explorer的)
然后我们再结束掉木马进程 winsecup 我们会发现,它不再自动恢复了,OK.
不要恢复explorer哦 不然...
windows任务
管理器里打开 winrar
找到木马
文件 c:\Program Files\Common Files\System\WinSecUp.exe
这时可以删除了
然后我们恢复桌面,没有产生新的进程,木马文件也没恢复.
然后到注册表里 删除 WinSecUp的相关键值
重新启动
计算机.
进程-无,木马文件-无,注册表-正常.
很奇怪,它为什么没有在windows下生成木马文件.
个人觉得不是木马,只是一个和木马功能类似的小猫咪.
用Winrar这样的一般都会安装的第三方工具来操作计算机,删除木马文件是信息
安全工程师的必修课.几乎所有病毒/木马,只要能把它的进程结束掉,都可以用此方法来做(DOS命令删除也可以).如果它不插explorer进程的话,那直接删就可以了.....
讲述完毕,好象毫无
技术含量,嘿嘿...
手杀其实也没有太大的技术含量,只是费点力,熟练后会发现也是是很简单的东西,个人觉得比用
杀毒软件扫来扫去的好多了.