首页
社区
课程
招聘
变态-ARM375+史莱姆木马整合
发表于: 2004-6-20 18:56 9160

变态-ARM375+史莱姆木马整合

2004-6-20 18:56
9160
一个软件外面是AM3.75  超级变态 完全修复了还有几十个函数没有修复 一个一个修复的 搞好了  晕 里面居然还有史莱姆病毒。 作者将程序和病毒捆绑在一起, 用OD也不能调试 病毒也无法删除 晕了。只能格式化 。用杀毒软件直接杀这个软件也没用 只能直接删除这个软件。

一执行程序 会在system32目录下生成一个rundll.exe 然后修改exe关联 使所有exe程序执行前会检查rundll.exe是否存在 否则会提示类似失去关联之类的信息。按照网上杀它的方法:先删除rundll.exe 然后修改注册表 可是没用 rundll.exe是删除了 可关联却失去了 没法修复 。就算修复了也没用 因为一执行这个软件 病毒又来了 让人烦恼的是用OD无法调试的 因为最终先调用到rundll.exe 这个程序当然是不能运行的 然后就终止了。
烦恼,我已经格式化了。
这个作者这么想到这样的好方法的 真不错。把我整了 哪位有对付它的好方法。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 4
支持
分享
最新回复 (10)
雪    币: 2319
活跃值: (565)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
2
在 vmware 里调试比较安全,如果软件对 cracker 的系统破坏,也可以轻易复原  :-)
2004-6-20 19:03
0
雪    币: 420
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
喔!没想到高手高手高高手也会中标啊!哈哈!!
-------给小鸡拱到茅柴里了。
2004-6-20 21:37
0
雪    币: 200
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
表示同情和惊讶。
2004-6-21 07:31
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
提交给杀毒软件公司是个方法:(
2004-6-21 07:51
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
关联型是能修复,你没修复好而已。
2004-6-21 09:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
可以搞定的
在有毒的状态下修复.com的打开方式
kill process
启动XXX.com修复.exe链接
over
2004-6-21 10:03
0
雪    币: 703
活跃值: (327)
能力值: (RANK:380 )
在线值:
发帖
回帖
粉丝
8
很容易找先打开regedit 查找exefile的打开方式先不要修改
用脱壳程序终止那个木马进程,然后改注册表里面的键值为正常的
最后找到文件删除
如果是单进程的这样就可以了

多进程守护麻烦点自己在dos下删除文件启动把regedit.exe改为regedit.com
再改exefile的打开方式
具体的操作看网上的相关资料。我就不多说了呵呵
2004-6-21 10:08
0
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
上面说的有用 但最终无效。
因为只要一执行这个软件 或者一调试 病毒要出来了(因为病毒直接和主程序捆绑在一起) 而且每次运行它会自动修复成AM375 这回就没不能跟踪了 关键是杀毒软件无法直接清除这个软件中的病毒 只能删除掉程序。
2004-6-21 10:36
0
雪    币: 703
活跃值: (327)
能力值: (RANK:380 )
在线值:
发帖
回帖
粉丝
10
捆绑的软件最终要分离出独立的程序才能运行.你找找程序的进程
和路径把他分离出来就可以了,另外明知道有病毒还调试什么?删了算了
2004-6-21 10:41
0
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
无法分离
另外在程序中还有大量语句检测。
2004-6-21 13:17
0
游客
登录 | 注册 方可回帖
返回
//