最近中了一个挺讨厌的病毒,没想到自己用电脑还挺小心的也会中这种病毒。
中了该病毒的特征如下
文件描述、说明、名称变成了Synaptics Pointing Device Driver,简单来说就是被套了一个壳
查了下二进制信息也确实如此,一个Delphi写的壳,没有别的了
然后感染目标是
遍历当前系统桌面目录,感染桌面目录下所有能够找到的exe,因为我的文档也会设置在桌面显示,所以我的文档目录里面exe文件也会被遍历感染,
但并不会通过快捷方式感染本体,也不会感染到其他盘符。
然后运行以后,会在程序运行目录释放
程序的本体,并且隐藏,还在本体程序前面增加前缀._cache,说实话,看到这里感觉还挺无语的..不过也获得一个重要的线索,就是病毒会主动释放程序本体(谁写病毒会这么写的?再差不也应该跟那些加密壳一样的做法,在内存里释放然后内存里运行么)
有了这个线索以后只要跟踪释放的函数过程就能写还原程序了
最后这个程序会在上述目录下解压本体,并把本体的该路径添加到注册表启动启动项,如果装了杀毒软件,或者防火墙的话,这一步就会被拦下来了(我没装任何这类防护软件,所以中招了)
所以在管理器里面关闭这个程序后再手动删除这个文件以及注册表启动项目就能解决,这不难。但是这个程序感染的桌面文件处理起来有点麻烦,因为这玩意只有运行过一遍才会释放程序本体并隐藏,没有运行还是保持病毒套壳的原样,所以我们还是看一下病毒释放程序的过程吧。
通过查看调用堆栈发现,该程序首先使用文件名查找带有._cache前缀的程序本体在不在,不在的话从套壳的文件里释放资源文件,然后使用命令行形式调用释放后的程序本体
既然这个程序做了这么几步,那我也照着他的做法再做一遍就行了
[C#] 纯文本查看 复制代码
IntPtr module = NativeMethods.LoadLibraryEx(FileAddress, IntPtr.Zero, 2);
var resourceInfo = NativeMethods.FindResourceEx(module, "#10", "EXERESX", 0);
uint resourceLength = NativeMethods.SizeofResource(module, resourceInfo);
IntPtr resourceData = NativeMethods.LoadResource(module, resourceInfo);
IntPtr resourcePtr = NativeMethods.LockResource(resourceData);
byte[] resourceBytes = new byte[resourceLength];
Marshal.Copy(resourcePtr, resourceBytes, 0, resourceBytes.Length);
NativeMethods.FreeLibrary(module);
File.WriteAllBytes(FileAddress, resourceBytes);
基本上没啥难度的,接下来写一个再套一个遍历目录的方法就行了。
解决方案就是,下载https://wwck.lanzouf.com/b00wiko3i 密码:exrt
双击打开并且等待结果就行。
2020-11-17更新
修复不扫描非NTFS格式磁盘以及U盘功能
2020-05-22更新
1:增加全盘扫描
2:增加U盘扫描
3:增加第二套扫描模式,遍历文件目录扫描(速度较慢,在检测到非NTFS文件系统下才会使用)
4:使用Open XML SDK模块对被感染的Excel文件进行处理,删除病毒VBA代码,恢复成xlsx格式,被感染的xlsm文件以防万一移入回收站而不直接删除
目前已知问题,对某些exe文件会无法恢复,问题发生的原因不明,程序会自动跳过该类文件但是病毒还在要小心
对长路径名的文件无法处理,这个是Win系统的通病,我也不清楚病毒是怎么做到对长路径和长文件名的感染的
被感染的xlsm文件恢复还处于验证阶段,需要你们的测试结果
| 
[复制链接]
|
发表于 2020-2-26 22:36
|楼主
发表于 2020-4-5 15:12
收藏
淘帖
有用
分享到朋友圈
