|
昨晚6.3号得到的样本,来至卡卡社区。这次又更新了,我。。。懒得费话了。。。这次又加入新技术,好像。。反而退步了? virustotal上国际杀软就5家报。
Aditional Information
File size: 711836 bytes MD5: 4ad9177448cd739c513f78d0186b6b1b SHA1: 1abc7efdb6e4405b08bd9e7da85b33ed4efa7705 SHA160 : 1ABC7EFDB6E4405B08BD9E7DA85B33ED4EFA7705 CRC32 : 42907622 Packers: ASProtec Languages:Borland Delphi 6.0 - 7.0 不得不提的是,这次加了ASProtec的壳,想当牛的一个壳(应该是变态),使用CRC校验算法、反跟踪、反脱壳和反汇编,小弟本领低微,无法脱掉!呼~~
行为:更新后的病毒似乎变的“低调”,与以前的作风大相径庭。
1、这个是重点``更新后释放的dll使用WH_CALLWNDPROC挂勾,截获SendMessage()函数,检测窗口消息(一些被屏蔽的关键字),那么这些“关键字”调用过程中直接被中断(关闭),不返回结果。
2、尝试关闭以下关键字?:
3、试图关闭杀软进程(列一部分,不一定准确):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
据我跟踪到的就这些,看解决方法:
下载冰刃和SREng进行以下操作:(注意:如果冰刃和SREng不能运行的话,请尝试修改软件文件名) 1、打开冰刃的“文件”功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\
应该可以看到2个随机8位数的文件,一个是.dll,另一个则是.dat,然后右键选上,删除掉```
展开到C:\Windows\,删除“随机8位数.hlp”,最后还有个.chm(系统帮助文件),在C:\Windows\Hlep下
(注:如果是2K系统的话,则是C:\winnt)
2、运行 SREng,删除:
3、开始-运行-regedit 查找“随机8位数”.dll,找到的话删除,最好先备份下。
上文提到的软件均可到down.45it.com下载。
|