欢迎来到天天文库
浏览记录
ID:9427047
大小:53.00 KB
页数:4页
时间:2018-04-30
《u盘病毒tel.xls.exe分析与清除方法详解》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、U盘病毒tel.xls.exe分析与清除方法详解~教育资源库 今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早,之所以说它, 是因为它是一个比较典型的优盘病毒,而且变种比较难以消灭。优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。 当然也有后期的以vb脚本引导的,那就更难处理了,而且往往打不开优盘,可以用on,FileMon,autorun,TCP/IP等来看。 这些软件都是Sysinternal的,去年被微软收购了~当然,也可以用单机版的Sandbox来看
2、,就是这个软件比较贵。 6.不一会,就收到了分析的邮件: e.jpg(37.73KB) 释放的文件,进程、注册表修改、MD5等参数全部一次性拿到,方便啊~其实,对于一般用户来说,用一些好用的工具,例如金山清理专家或SREng同样能发现端倪: 使用清理专家扫描,发现可疑启动项: qidong.jpg(49.56KB) 全面扫描,发现更多可疑项: quanbu.jpg(51.89KB) 扫描恶意软件,发现autorun.inf eyi.jpg(49.59KB) 再使用SREng扫描:
3、sreng.jpg(46.34KB) 附上SReng扫描报告, 报告中的下列项目就是病毒生成的: 引用: [HKEY_LOCAL_MACHINESoft32mmc.exe][N/A,] 服务 [SmartCardSupervisor/mmc][Running/ManualStart] <2-系统找不到指定的文件。 ><(Fileismissing)> Autorun.inf [C:] [AutoRun] open=tel.xls.exe shellexe
4、cute=tel.xls.exe shellAutomand=tel.xls.exe shell=Auto 7.和沙盒的分析结果比对,多出一个叫kill的任务。如下图: 777.jpg(35.06KB) 多出一个mmc.exe进程,与沙盒分析结果吻合~ 666.jpg(44.85KB) 8.使用类似IceSword的工具结束进程。 IceSword是中科大的pjf写的,由于使用了Windows核心的API,可以直接看到隐藏文件和进程,个人认为IceSword在处理两个进程互为保护的病毒时特
5、别有效。可以同时结束两个进程。或锁住一个进程,不让其再生。这招对付进程互为保护的病毒非常不错。 aaa.jpg(56.7KB) 123下一页友情提醒:,特别!9.进程对应的文件,与沙盒分析吻合,删除之~ 111.jpg(54.88KB) 生成的另两个文件,删除之~ 555.jpg(55.47KB) 10.icrosofticrosofticrosofticrosofticrosofticrosoftWindowsCurrentVersionExplorerAdvancedFolderHide
6、FileExtUn上一页123下一页友情提醒:,特别!checkedValue,0,REG_DSOFTicrosoftWindosgbox病毒清除成功,请重启电脑!,64,tel.xls.exe病毒专杀上一页123友情提醒:,特别!
此文档下载收益归作者所有