首页
社区
课程
招聘
[求助]崩溃了,请帮我分析下Win32/Wapomi.B感染病毒
发表于: 2010-6-10 11:24 6283

[求助]崩溃了,请帮我分析下Win32/Wapomi.B感染病毒

2010-6-10 11:24
6283
中了这个毒,两个硬盘的exe都几乎被感染完了
杀毒软件不能修复被感染的exe只能隔离或者删除
用PEID可以在被感染程序看到 PEtite 2.x [Level 1/9] -> Ian Luck 壳信息
被感染程序被增加了一个区段,区段名是随机字符
程序入口点被修改指到新加的病毒区段

现在配合peditor可以清除掉病毒区段,但是被感染程序原入口点不知道在什么位置
哪位高手分析下附加的病毒代码,分析出找原入口点的方法?或者花点时间写个修复程序出来
我相信很多人会感激你的,现在这个病毒已经感染了N多的电脑用户

病毒原体
appmgmts.dll - Win32/Wapomi.B 病毒 的变种

被感染的程序

mskey4in1.exe

没有被感染的 mskey4in1.exe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
分享下经验:

病毒会替换系统的c:\windows\system32\appmgmts.dll,找个正常的appmgmts.dll替换回来

病毒会在C盘根目录生成cmt.exe,可以在c盘建个文件夹,名字为cmt.exe,可以抑制下病毒

病毒会生成C:\WINDOWS\system32\drivers\4962480D.sys
在C:\WINDOWS\system32\drivers\建个名字为4962480D.sys的文件夹可以抑制下病毒

希望专杀快出来,help me
2010-6-10 11:44
0
雪    币: 172
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
被感染的原始入口就是最后一个就jmp  你上传的文件可能是感染出错了 还有 添加的节名 不是随机的 是原始的入口地址  极虎的变种
2010-6-19 10:29
0
游客
登录 | 注册 方可回帖
返回
//