病毒的手动查杀——影像劫持

killllik12

在这里与大家分享手动杀毒的经验，有人回复要我玩一个影像劫持的病毒。刚好在样本区下载到这样一个样本！现将测试样本和手动查杀的经过贴出来。
============================
样本来源
[url=http:/[该网站由于曾经在卡饭广告过度，被屏蔽]/viewthread.php?tid=64424&extra=page%3D1]http:/[该网站由于曾经在卡饭广告过度，被屏蔽]/viewthread.php?tid=64424&extra=page%3D1[/url]
============================
样本下载地址www.huanghuaren.com/dogok.zip
============================
文件: 桌面\dogok\bigdog.exe
大小: 458723 字节
修改时间: 2007年12月29日, 22:57:26
MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
CRC32: 0375B832
============================
介绍：
各盘下生成bigdog.exe autorun.inf
磁盘不管是双击还是右键均不能打开，任务管理器、系统配置实用程序、注册表编辑器和组策略打不开。
隐藏文件不能显示，一些杀毒软件和安全辅助软件如瑞星、金山、卡巴、360安全卫士以及一些安全
辅助软件不能运行，一些安全网站不能打开，耗掉大量资源，此病毒影像劫持！
============================
运行病毒样本：bigdog.exe
============================
各分区根目录下生成
autorun.inf
bigdog.exe
对于在根目录下做了auto免疫的文件夹，该病毒会运行cmd删除auto免疫文件夹，再生成autorun.inf
（图一）

在system32下衍生
c:\windows\system32\bigdog.exe
（图二）

============================
auorun.inf内容
[AutoRun]
open=bigdog.exe
shell\open=打开(&O)
shell\open\Command=bigdog.exe
shell\explore=资源管理器(&X)
shell\explore\Command="bigdog.exe -e"
============================
注册表写入下面几项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
创建bigdog.exe键，指向c:\windows\system32\bigdog.exe 达到开机自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun 被更改
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue更改为0，隐藏文件不能显示
（图三）

============================
影像劫持：
360rpt.exe
360safe.exe
autoruns.exe
avp.com
avp.exe
CCenter.exe
KAVStart.exe
KWatch.EXE
mmc.exe
msconfig.exe
QQDoctor.exe
QQKav.exe
ras.exe
Rav.exe
regedit.exe
taskmgr.exe
============================
C:\WINDOWS\system32\drivers\etc\hosts
写入下面内容，禁止了一些安全网站
127.0.0.1      www.trendmicro.com
127.0.0.1      rads.mcafee.com
127.0.0.1      www.rising.com.cn
127.0.0.1      bbs.2dai.com
127.0.0.1      bbs.abcbit.com
127.0.0.1      www.freekv.net
127.0.0.1      downloads-us1.kaspersky-labs.com
127.0.0.1      downloads1.kaspersky-labs.com
127.0.0.1      downloads4.kaspersky-labs.com
127.0.0.1      downloads2.kaspersky-labs.com
127.0.0.1      downloads-eu1.kaspersky-labs.com
127.0.0.1      www.qq.com
127.0.0.1      www.duba.net
127.0.0.1      www.baidu.com
127.0.0.1      www.google.com
127.0.0.1      www.jiangmin.com
127.0.0.1      www.ahn.com.cn
127.0.0.1      www.luckfish.net
127.0.0.1      www.hao123.com
127.0.0.1      mail.163.com
（图四）

============================
手杀方法（使用冰刃工具）
============================
1.运行冰刃先结束bigdog.exe进程
（图五）

2.定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  将影像劫持项删除，这样就可以使用注册表编辑器、任务管理器、系统配置实用程序以及一些安全辅助软件和杀软。
（图六）

3.用冰刃的文件管理功能，删除各分区根目录下autorun.inf和bigdog.exe以及system32下的bigdog.exe
（图七）

4.使用冰刃的注册表管理功能，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe
图八

  同时修复被更改的NoDriveTypeAutoRun值以及显示隐藏文件的CheckedValue键值
图九

5.到C:\WINDOWS\system32\drivers\etc下修复hosts文件
============================
至此，手动杀马完毕！
============================
病毒样本 密码123  dogok.rar
　　在这里与大家分享手动杀毒的经验，有人回复要我玩一个影像劫持的病毒。刚好在样本区下载到这样一个样本！现将测试样本和手动查杀的经过贴出来。
　　============================
　　样本来源
　　[url=http:/[该网站由于曾经在卡饭广告过度，被屏蔽]/viewthread.php?tid=64424&extra=page%3D1]http:/[该网站由于曾经在卡饭广告过度，被屏蔽]/viewthread.php?tid=64424&extra=page%3D1[/url]
　　============================
　　样本下载地址www.huanghuaren.com/dogok.zip
　　============================
　　文件: 桌面\dogok\bigdog.exe
　　大小: 458723 字节
　　修改时间: 2007年12月29日, 22:57:26
　　MD5: 3178E7E6A6B0C9190ECF0857F3DE97E6
　　SHA1: 0782EC36266CE5426100E9D9EA4B8DA574B02A6F
　　CRC32: 0375B832
　　============================
　　介绍：
　　各盘下生成bigdog.exe autorun.inf
　　磁盘不管是双击还是右键均不能打开，任务管理器、系统配置实用程序、注册表编辑器和组策略打不开。
　　隐藏文件不能显示，一些杀毒软件和安全辅助软件如瑞星、金山、卡巴、360安全卫士以及一些安全
　　辅助软件不能运行，一些安全网站不能打开，耗掉大量资源，此病毒影像劫持！
　　============================
　　运行病毒样本：bigdog.exe
　　============================
　　各分区根目录下生成
　　autorun.inf
　　bigdog.exe
　　对于在根目录下做了auto免疫的文件夹，该病毒会运行cmd删除auto免疫文件夹，再生成autorun.inf
　　（图一）
　　
　　
　　在system32下衍生
　　c:\windows\system32\bigdog.exe
　　（图二）
　　
　　
　　============================
　　auorun.inf内容
　　[AutoRun]
　　open=bigdog.exe
　　shell\open=打开(&O)
　　shell\open\Command=bigdog.exe
　　shell\explore=资源管理器(&X)
　　shell\explore\Command="bigdog.exe -e"
　　============================
　　注册表写入下面几项：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　创建bigdog.exe键，指向c:\windows\system32\bigdog.exe 达到开机自启动
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun 被更改
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue更改为0，隐藏文件不能显示
　　（图三）
　　
　　
　　============================
　　影像劫持：
　　360rpt.exe
　　360safe.exe
　　autoruns.exe
　　avp.com
　　avp.exe
　　CCenter.exe
　　KAVStart.exe
　　KWatch.EXE
　　mmc.exe
　　msconfig.exe
　　QQDoctor.exe
　　QQKav.exe
　　ras.exe
　　Rav.exe
　　regedit.exe
　　taskmgr.exe
　　============================
　　C:\WINDOWS\system32\drivers\etc\hosts
　　写入下面内容，禁止了一些安全网站
　　127.0.0.1      www.trendmicro.com
　　127.0.0.1      rads.mcafee.com
　　127.0.0.1      www.rising.com.cn
　　127.0.0.1      bbs.2dai.com
　　127.0.0.1      bbs.abcbit.com
　　127.0.0.1      www.freekv.net
　　127.0.0.1      downloads-us1.kaspersky-labs.com
　　127.0.0.1      downloads1.kaspersky-labs.com
　　127.0.0.1      downloads4.kaspersky-labs.com
　　127.0.0.1      downloads2.kaspersky-labs.com
　　127.0.0.1      downloads-eu1.kaspersky-labs.com
　　127.0.0.1      www.qq.com
　　127.0.0.1      www.duba.net
　　127.0.0.1      www.baidu.com
　　127.0.0.1      www.google.com
　　127.0.0.1      www.jiangmin.com
　　127.0.0.1      www.ahn.com.cn
　　127.0.0.1      www.luckfish.net
　　127.0.0.1      www.hao123.com
　　127.0.0.1      mail.163.com
　　（图四）
　　
　　
　　============================
　　手杀方法（使用冰刃工具）
　　============================
　　1.运行冰刃先结束bigdog.exe进程
　　（图五）
　　
　　
　　2.定位到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
　　将影像劫持项删除，这样就可以使用注册表编辑器、任务管理器、系统配置实用程序以及一些安全辅助软件和杀软。
　　（图六）
　　
　　
　　3.用冰刃的文件管理功能，删除各分区根目录下autorun.inf和bigdog.exe以及system32下的bigdog.exe
　　（图七）
　　
　　
　　4.使用冰刃的注册表管理功能，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bigdog.exe
　　图八
　　
　　
　　同时修复被更改的NoDriveTypeAutoRun值以及显示隐藏文件的CheckedValue键值
　　图九
　　
　　
　　5.到C:\WINDOWS\system32\drivers\etc下修复hosts文件
　　============================
　　至此，手动杀马完毕！
　　============================
　　病毒样本 密码123  dogok.rar

wuhaomh

Ok。感谢

刘建霖

多谢楼主提供！！！

chen_c_yaun

图文并茂，顶一下