首页
社区
课程
招聘
[原创]网页病毒简单分析(非样本分析)
发表于: 2015-11-14 16:30 10944

[原创]网页病毒简单分析(非样本分析)

2015-11-14 16:30
10944
最近无意中发现电脑里的网页文件尾巴上多了一段代码,稍微注意了一下,应该是中毒了。
(因本人对反汇编调试不善长,所有没有去分析样本,请给大大们分析,我坐等分析结果。)
我只是稍稍分析了一下可能驻留,感染的途经。
1。此病毒会在 C:\Program Files (x86)\Microsoft 目录中生成一个 DesktopLayer.exe文件
2。会在常用的EXE文件目录下生成一个以常用EXE名+srv.exe的文件,文件大小有两种(55K和112K)(这个并不一定每个都有,应该是有一定的触发条件,需分析样本)
3.会在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit里生成启动项
4。会感染所有的网页文件,在尾部加一段启动代码
5。会调用默认浏览器或者IE浏览器程序后台运行病毒代码
6。可能还有其它

下面提供一个样本和网页文件的清理工具(因为是非专业清理工具,只是我写的小工具改的,所有操作时需要几步,先搜索-〉完成后右键列表选菜单中的全选-〉清理)

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 137
活跃值: (481)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
中过这样的病毒,是感染所有的EXE
2015-11-14 19:25
0
雪    币: 129
活跃值: (2758)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
赛门铁克有个修复工具的 前几天刚中了这个病毒
2015-11-14 21:18
0
雪    币: 102
活跃值: (2035)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
分析过这个样本,会感染所有EXE,DLL和htm文件,还有个假的explorer自启动。
2015-11-16 09:15
0
雪    币: 271
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
有现成专杀吗?
今天确实发现所有的EXE,DLL文件都被感染了,增加了.rmnet的节,大小:57856字节
2015-11-16 17:28
0
雪    币: 271
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
没有专杀,用了个懒人的办法处理了一下,暂时没发现继续感染
2015-11-17 15:52
0
雪    币: 222
活跃值: (739)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
表示中过2次,很难搞。。没具体分析过,因为当时发现他会感染正在运行的进程,,explorer,必须中了,然后想开od看看,发现od中了,,,。。后台有打开默认浏览器,但前台无窗口,,最后一个一个感染的应用卸载,,没卸载干净,,默默还原系统了
2015-11-18 05:50
0
雪    币: 5
活跃值: (108)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这个?我还以为是网马呢。。。
2015-11-18 12:06
0
雪    币: 271
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
本来想做个清除病毒本的工具,后来发现找OEP有点麻烦,就偷了点懒,没有清除病毒体,只是修改了一下病毒体的执行流程,这样只需要改几个字节,防止病毒再次感染.
2015-11-18 15:20
0
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
那个VBS文件就是病毒 ?  
添加在网页后面的HTML代码 有权限调用EXE?
楼主用的是IE几啊    代码能发出来看看吗?
2016-3-8 17:47
0
雪    币: 271
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
WIN7自带的IE版本,我这里是11
这个病毒的启动方式是因为感染了html,所有内置启动HTML文件的软件都会造成病毒再次启动
已经这么久了,我这里没有保留HTML代码
2016-3-21 09:45
0
游客
登录 | 注册 方可回帖
返回
//