-
-
[原创]网页病毒简单分析(非样本分析)
-
2015-11-14 16:30
10501
-
最近无意中发现电脑里的网页文件尾巴上多了一段代码,稍微注意了一下,应该是中毒了。
(因本人对反汇编调试不善长,所有没有去分析样本,请给大大们分析,我坐等分析结果。)
我只是稍稍分析了一下可能驻留,感染的途经。
1。此病毒会在 C:\Program Files (x86)\Microsoft 目录中生成一个 DesktopLayer.exe文件
2。会在常用的EXE文件目录下生成一个以常用EXE名+srv.exe的文件,文件大小有两种(55K和112K)(这个并不一定每个都有,应该是有一定的触发条件,需分析样本)
3.会在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit里生成启动项
4。会感染所有的网页文件,在尾部加一段启动代码
5。会调用默认浏览器或者IE浏览器程序后台运行病毒代码
6。可能还有其它
下面提供一个样本和网页文件的清理工具(因为是非专业清理工具,只是我写的小工具改的,所有操作时需要几步,先搜索-〉完成后右键列表选菜单中的全选-〉清理)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工
作,每周日13:00-18:00直播授课
