扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
很感激有些病毒作者给我们扫了盲:让我们知道了,原来病毒不一定非得偷偷摸摸,他们也可以很高调的反攻杀软.
熊猫烧香的快速变种,磁碟机的消息泛洪,都给我们上了生动却残酷的一课.
今天我们来处理的这个病毒样本很有趣,会导致金山无法安装.病毒使用的方法并不复杂,或者说其中的很多方法我们都经常使用.......废话说完了,还是一起看看吧...特别感谢:songbowen给我提供样本....
症状:金山毒霸安装程序无法运行,提示安装程序已经损坏,其实是完好的.图一.
这时候我们就要回忆下了,干扰杀软的安装过程,有几种方式.列举下比较常见的:
1.映像劫持.
2.直接关闭杀软安装程序:
findWindow+sendkey(查找窗口名后模拟按键)
CreateToolhelpSnapsho+ProcessFirst+ProcessNext+OpenProcess+TerminateProcess+CloseHandle(枚举进程后杀掉)
SSDT-hook(文件名=安装程序直接返回error)
findWindow+postmessage(发送WM_close消息)
消息泛洪(磁碟机用的)等方式.
3.先入为主,通过创建同名文件夹、注册表键值(记得免疫auto病毒了吗?)的方式,干扰安装.
4.修改权限,导致文件写入或者注册表写入失败.
逆向思维这时候发挥作用了,如果你是病毒作者,你会怎么做?肯定是分析金山的安装过程了!那还等什么呢?Go!
怎么分析你随意吧......推荐个国产软件:EQ,就蛮不错.
分析后的结果,整理如下:
1.安装文件释放实际的安装程序到temp文件夹,文件名为kav+一个随机字符.
2.执行安装程序.
3.完成安装.
之前我们已经介绍过干扰的方法,下面我们看看其中哪些可能被病毒作者利用,以及如何应对.
1.映像劫持要求文件名精确匹配,而金山安装时使用了随机文件名,因此这项很难利用.但由于文件名具有规律性,不排除病毒作者穷举键值.这项我们通过删除相关键值的方法即可消除.
2.这里的方法基本上都能实现.解决也很简单,结束病毒进程即可.
3.这一项应该分为两部分来看:一是与安装程序同名,就是穷举.二是与安装后的程序同名.前者没必要解释了,就说后者.有朋友说,你又不知道我把程序要安到哪,你怎么先入为主.别忘了杀软要安装驱动,而驱动文件的路径是固定的......所以,这就是安全中的薄弱点.根据木桶理论和墨菲法则,嘿嘿,结果不言而喻了.这部分同样,删除同名文件夹即可.
4.这个要具体检查了.
上面我们具体分析了病毒作者的伎俩,下面我们逐项检查吧....
1.发现大量病毒键值,删除之.如图二
2.发现一个违章进程,结束之.如图三
如果你不知道哪个是病毒,先进行后面几步!
3.temp文件夹发现大量文件夹,清空之.如图四
删除失败?原来里面有个畸形文件夹,用DOS命令干掉吧!如图五.
命令为(假设系统盘为C):
RD /S /Q C:\WINDOWS\temp (删除temp下所有文件夹,包括temp)
MD C:\WINDOWS\temp (重建temp文件夹)
drivers目录下发现同名文件夹,删除方法同上.如图六
4.没发现什么问题.
这时候回到2,如果忽略了2,你会发现仍然打不开安装程序,程序一闪就消失,这时候试试其他软件,比如wsyscheck,你可以轻松看到违章的进程.图七红色的那个.
[attach]16215133[/attach]
至此,整个病毒清理结束.很多朋友碰到这种无法安装杀软的病毒往往是重装了事.这篇文章希望能给大家一点启示,相信自己,很多事情没那么复杂!
我顺手做了个小程序,可以处理这种病毒造成的问题.请使用前先结束病毒进程,再运行.如图八
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者