[求助]我的电脑中了毒还是怎么回事。大牛们来看看！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]我的电脑中了毒还是怎么回事。大牛们来看看！

发表于: 2011-1-13 20:27 9466

[求助]我的电脑中了毒还是怎么回事。大牛们来看看！

komnb

2011-1-13 20:27

9466

将EXE感染成比原程序还大几倍，并将原文件后缀去掉并隐藏的病毒，系统也不觉得卡，也没什么明显变化，但仔细观察就发现。
我的EXE程序在运行后，就会生产一个新的比原程序大小的EXE
本来的EXE程序就会被去掉后缀，并隐藏
假如我运行TTPLAYER.EXE，结果就会造成，在千千静听目录下，
生成一个新的TTPLAYER.EXE程序，原来的TTPLAYER.EXE就变成了TTPLAYER文件
如图所示。但是双击歌曲后还是由千千静听播放，因此很难察觉

找不到病毒原，也没在盘符下找到自动运行的脚本

不仅仅是这个程序这样！凡事运行过的程序都变成这样了！杀毒杀了很多次也没见有毒。别人说U盘病毒我用专杀U盘病毒的软件杀也没见有。求大牛们给个彻底解决的办法！我不想重装系统。因为我的电脑上有太多东西了！不好弄。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

16022dq11aa35_f61e2f.jpg （10.73kb，314次下载）

收藏・1

免费・0

支持

最新回复 (17)
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 2 楼猜测一下。。。//刚才回的帖子因为网速不给力，失败了。。。这个程序的执行流程可能就是先检测特定的可执行文件，然后去掉扩展名。接下来就是把自己重命名为目标程序的名字。不过看截图的话，好像这个程序可以修改自己的图标资源。能做到这一步的话，个人觉得这个程序的作者应该对pe文件结构比较熟悉了，完全可以做出原理更复杂的程序来啊，可思路看起来像是在Windows下模拟dos时代的病毒行为。。。 lz用款好一点的杀毒软件扫一下吧，估计原来的可执行文件没有被破坏，你把名字改回来应该就可以了。 2011-1-13 22:07 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 3 楼换了几个杀毒软件了！没见有问题！名早改回来了！改回来一会又来了！问是。 2011-1-13 22:18 0
undertone 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	undertone 4 楼这个比较适合用主防分析。 2011-1-13 22:56 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 5 楼这么厉害，防不胜防啊。不过没啥后遗症啊 2011-1-14 09:06 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 6 楼之前中过。。。我的理解是不会感染系统文件。。弄个样本上来吧。。。我的直接x掉系统了，没保留。。 2011-1-14 09:09 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 7 楼弄个样本上来吧，没有样本别人都只是猜测。 2011-1-14 10:06 0
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 8 楼对啊，上个样本吧，压缩包就成 2011-1-14 11:10 0
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 9 楼这个病毒以前大致看过，病毒会获取程序的退出码，当程序退出的时候就会去用病毒自身去替换掉原始程序，把原始程序的后缀去掉，就像你截图里面的那个没后缀的TTPlayer，这个没后缀的就是正常的程序。这个正常程序被替换后，运行这个病毒他会运行完后会调用正常的ttplayer 想想你运行过哪些软件，然后退出过，那些应该都被病毒替换掉了自己找病毒特征写专杀或者把病毒提交杀软然后在杀吧 2011-1-14 15:53 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼你分析得有道理。关键我不会看病毒。要是有更好的办法就好了！谢谢大家的回答。需要样本我就打包下放上来！ 2011-1-15 02:57 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 11 楼 WinHex.zip病毒样本WinHex主程序上传的附件： WinHex.zip （842.32kb，35次下载） 2011-1-15 03:48 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 12 楼还有很多给弄成这样了！实在想不到法子呀！郁闷。！上传的附件： 1.jpg （6.93kb，193次下载） 2.jpg （7.54kb，194次下载） 3.jpg （30.43kb，195次下载） 2011-1-16 17:33 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 13 楼玩计算机的还弄成这样。。。。。。 2011-1-16 18:23 0
捡破烂的雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	捡破烂的 14 楼下个360急救箱杀下试试吧··不懂这高级玩意！ 2011-1-16 19:01 0
logkiller 雪币： 7906 活跃值： (3086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 15 楼我用微点杀到了，忘了和你说，你也没问 2011-1-18 00:41 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 16 楼分析了一下：查找RavMonD.exe进程，找到退出感染线程，创建{A37340FD-F043-41e3-9C16-2F2632387199}事件，避免病毒重复运行。搜索当前运行的进程，找出符合下列条件的可执行文件，然后感染它们。文件要大于10KB，小于10MB 当前文件夹不为下列文件夹： "desktop" "桌面" 文件全路径不包括下列： "\temp\" ":\windows\" "exebinder" "\qq" "visual studio" "\microsoft office\" "\thunder\" "\360" "\aliwangwang\" "\internet explorer\" "\outlook express\" "\microsoft sql server\" "\windows live\messenger\" "\winzip\" "\winrar\" "\globallink\game\" "\qqdoctor\" "\rising\" "\firefox" "\aliim.exe" "\avira\" "\world of warcraft\" "\skynet\" "\eset nod32 antivirus\" "\jx3\" "\sealonlinechina\" "\chrome\" "\elive\" "\maxthon" "\defenderdaemon" "\vstart.exe" "\vmware\" "\syntp\" "\orayremoteshell.exe" "\ibguard.exe" 删除源文件后缀名并获取文件图标资源，拷贝自身并加上原文件图标资源，和大量空数据替换原文件。访问网站ns.dns3-domain.com，并通过udp打开1059端口接受数据。该病毒不修改注册表，没有特定启动项。只要找到被修改的文件，删除，把那个源文件恢复一下就可以。只要保证病毒不在运行，删除掉就可以了。 2011-1-20 16:16 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 17 楼恩谢谢了。我杀了毒重新装过了。 2011-1-22 10:17 0
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 18 楼太强太给力了。 2011-1-28 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

komnb

发帖

177

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 2 楼猜测一下。。。//刚才回的帖子因为网速不给力，失败了。。。这个程序的执行流程可能就是先检测特定的可执行文件，然后去掉扩展名。接下来就是把自己重命名为目标程序的名字。不过看截图的话，好像这个程序可以修改自己的图标资源。能做到这一步的话，个人觉得这个程序的作者应该对pe文件结构比较熟悉了，完全可以做出原理更复杂的程序来啊，可思路看起来像是在Windows下模拟dos时代的病毒行为。。。 lz用款好一点的杀毒软件扫一下吧，估计原来的可执行文件没有被破坏，你把名字改回来应该就可以了。 2011-1-13 22:07 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 3 楼换了几个杀毒软件了！没见有问题！名早改回来了！改回来一会又来了！问是。 2011-1-13 22:18 0
undertone 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	undertone 4 楼这个比较适合用主防分析。 2011-1-13 22:56 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 5 楼这么厉害，防不胜防啊。不过没啥后遗症啊 2011-1-14 09:06 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 6 楼之前中过。。。我的理解是不会感染系统文件。。弄个样本上来吧。。。我的直接x掉系统了，没保留。。 2011-1-14 09:09 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 7 楼弄个样本上来吧，没有样本别人都只是猜测。 2011-1-14 10:06 0
flowons 雪币： 379 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	flowons 2 8 楼对啊，上个样本吧，压缩包就成 2011-1-14 11:10 0
hkwind 雪币： 292 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	hkwind 9 楼这个病毒以前大致看过，病毒会获取程序的退出码，当程序退出的时候就会去用病毒自身去替换掉原始程序，把原始程序的后缀去掉，就像你截图里面的那个没后缀的TTPlayer，这个没后缀的就是正常的程序。这个正常程序被替换后，运行这个病毒他会运行完后会调用正常的ttplayer 想想你运行过哪些软件，然后退出过，那些应该都被病毒替换掉了自己找病毒特征写专杀或者把病毒提交杀软然后在杀吧 2011-1-14 15:53 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼你分析得有道理。关键我不会看病毒。要是有更好的办法就好了！谢谢大家的回答。需要样本我就打包下放上来！ 2011-1-15 02:57 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 11 楼 WinHex.zip病毒样本WinHex主程序上传的附件： WinHex.zip （842.32kb，35次下载） 2011-1-15 03:48 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 12 楼还有很多给弄成这样了！实在想不到法子呀！郁闷。！上传的附件： 1.jpg （6.93kb，193次下载） 2.jpg （7.54kb，194次下载） 3.jpg （30.43kb，195次下载） 2011-1-16 17:33 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 13 楼玩计算机的还弄成这样。。。。。。 2011-1-16 18:23 0
捡破烂的雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	捡破烂的 14 楼下个360急救箱杀下试试吧··不懂这高级玩意！ 2011-1-16 19:01 0
logkiller 雪币： 7906 活跃值： (3086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 776 粉丝 1 关注私信	logkiller 15 楼我用微点杀到了，忘了和你说，你也没问 2011-1-18 00:41 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 16 楼分析了一下：查找RavMonD.exe进程，找到退出感染线程，创建{A37340FD-F043-41e3-9C16-2F2632387199}事件，避免病毒重复运行。搜索当前运行的进程，找出符合下列条件的可执行文件，然后感染它们。文件要大于10KB，小于10MB 当前文件夹不为下列文件夹： "desktop" "桌面" 文件全路径不包括下列： "\temp\" ":\windows\" "exebinder" "\qq" "visual studio" "\microsoft office\" "\thunder\" "\360" "\aliwangwang\" "\internet explorer\" "\outlook express\" "\microsoft sql server\" "\windows live\messenger\" "\winzip\" "\winrar\" "\globallink\game\" "\qqdoctor\" "\rising\" "\firefox" "\aliim.exe" "\avira\" "\world of warcraft\" "\skynet\" "\eset nod32 antivirus\" "\jx3\" "\sealonlinechina\" "\chrome\" "\elive\" "\maxthon" "\defenderdaemon" "\vstart.exe" "\vmware\" "\syntp\" "\orayremoteshell.exe" "\ibguard.exe" 删除源文件后缀名并获取文件图标资源，拷贝自身并加上原文件图标资源，和大量空数据替换原文件。访问网站ns.dns3-domain.com，并通过udp打开1059端口接受数据。该病毒不修改注册表，没有特定启动项。只要找到被修改的文件，删除，把那个源文件恢复一下就可以。只要保证病毒不在运行，删除掉就可以了。 2011-1-20 16:16 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 17 楼恩谢谢了。我杀了毒重新装过了。 2011-1-22 10:17 0
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 18 楼太强太给力了。 2011-1-28 15:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复