-
-
[原创]网页病毒简单分析(非样本分析)
-
发表于:
2015-11-14 16:30
10974
-
最近无意中发现电脑里的网页文件尾巴上多了一段代码,稍微注意了一下,应该是中毒了。
(因本人对反汇编调试不善长,所有没有去分析样本,请给大大们分析,我坐等分析结果。)
我只是稍稍分析了一下可能驻留,感染的途经。
1。此病毒会在 C:\Program Files (x86)\Microsoft 目录中生成一个 DesktopLayer.exe文件
2。会在常用的EXE文件目录下生成一个以常用EXE名+srv.exe的文件,文件大小有两种(55K和112K)(这个并不一定每个都有,应该是有一定的触发条件,需分析样本)
3.会在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit里生成启动项
4。会感染所有的网页文件,在尾部加一段启动代码
5。会调用默认浏览器或者IE浏览器程序后台运行病毒代码
6。可能还有其它
下面提供一个样本和网页文件的清理工具(因为是非专业清理工具,只是我写的小工具改的,所有操作时需要几步,先搜索-〉完成后右键列表选菜单中的全选-〉清理)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)