sysload3.exe木马病毒地分析及清除方法

《sysload3.exe木马病毒地分析及清除方法》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、SysLoad3.exe木马病毒地分析及清除方法～教育资源库　　SysLoad3.exe木马　　瑞星定义名为：yInfect　　赛门铁克定义名为：ySignal)。这个时候iexplore在干吗呢？接着看。　　5.Iexplore(名字真长，后面叫IE好了~)先创建一个命名Mutex:MyDo　　　　　　　;唉，统计，就觉得这东西这么NB？还要统计一下。。。。　　hos=test/hos.gif　　　　;这里非常出彩！苦心收集了一大堆流氓网站的名字，给我们种木马的时候，顺便给我　　们把这些网站也给屏蔽了。全

2、都记录在hosts文件里面，都解析成本地！虽然不清楚的本意是为了打击竞争对手(其他木马，嘿嘿~）或者是真的为人民服务，无论如何12下一页友情提醒：，特别！，赞~~！！虽然木马杀了，这个功能我还是会继续使用的，估计还会更新~哈哈~~　　好，任务都完成了以后，IE同学休息休息~~　　6.Nopepad粉墨登场。　　这个坏家伙一上来就不干好事儿~，从Z盘到A盘挨个来，一个不落的去感染其他文件，包括EXE，ASP，ASPX，HTM，HTML，PHP，嗯，好像就这些。这是这个木马非常让我厌恶的地方。　　A.其EXE的

3、感染的过程如下（大家不要看了去干坏事！）：　　首先，依然是遍历所有文件。找到一个EXE后，检查它的最后4个字节是不是0x12345678。如果是，那么这个就是兄弟，下一位。　　找到一个没给感染的后干吗呢？自然就是感染他拉~~哈哈哈~~~。注意看哦，这里很关键：把sysload3.exe复制一份，叫做tempicon.exe，为啥是icon呢？不着急，马上就能看到原因了。tempicon有了以后，把目标程序的图标资源取出来，插入到tempicon里面去，这样的话，tempicon看起来就长得跟目标一样咯~。下

4、一步呢，就是要把目标程序保存下来，于是就有了tempload.exe，这个文件就是把tempicon复制一份，然后把目标程序紧接着放在后面。最后加入8个自己的识别信息，前四个字节指出木马本身的长度，后四个字节就是前面说的0x12345678;　　B.phtml~，中间插入一个流氓javascript文件：　　　　　　<scriptsrc=Noindex.js></script>　　感染完整个硬盘后，就没50秒扫描一次又没有U盘，软盘之类的驱动器挂上。挂上了就在根目录下生成一个Auto

5、run.inf，复制一份SysLoad3.exe过去，比较简单。　　哦，好像检查了系统目录所在的分区没有去遍历。　　嗯，打完收工！　　基本流程就是这样了~。要恢复的话，只要写个小程序，遍历一下硬盘里的exe，根据文件尾的标示(倒数第8-4个字节指出Sysload_Stub的长度，根据最后4个字节是否0x12345678判断是否是染毒文件)就可以恢复鸟~~~~至于其他的那些gizo0.dll,lgsy0.dll,msxo0.dll,rav20.dll之类的库，用IceSp;extra=page%3D1　　由于

6、论坛系统的限制，需要注册一个360的帐号先。SORRY.上一页12友情提醒：，特别！