好友
阅读权限20
听众
最后登录1970-1-1
|
董督秀
发表于 2024-2-18 00:15
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
30吾爱币
已知,
1.运行被感染的程序aaa.exe后,有概率添加后缀并会自动释放另一个病毒文件至当前目录aaamgr.exe,但并不一定会释放;同时,有概率感染未运行或已运行的*.exe/*.dll后缀文件,但并不一定会感染
2.导致系统卡顿
3.不清楚虚拟机里还有哪些程序被感染,程序被感染的特征是,文件增大,同时被添加了一个.text区段;同时,也有程序被感染后,未被添加区段,但是运行后加载了被感染的dll文件,导致释放病毒附属文件,压缩包里的例子即是。压缩包里的dll被感染了。
病毒区段汇编为
pushad
...
...
...
popad
...
jmp eax
另外,不知道病毒还干了什么,没来得及细看了。
诉求:
寻求解决方案,批处理被感染的文件,删除.text区段,并使PE恢复正常,删除病毒附属文件*mgr.exe,恢复被病毒篡改的系统相关设置。
病毒样本已上传:
https://f.ws59.cn/f/df6q459rbo8
解压密码
52pojie |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
