热点科技

标题: [原创] 威金病毒其实很好分辨 [打印本页]

作者: seawind163    时间: 2006-10-31 08:21
标题: [原创] 威金病毒其实很好分辨
威金病毒其实很好分辨
稍微分析了下病毒感染的文件,发现只不过在原可执行文件(PE)头部加了一段代码,

也就是说,原可执行文件被埋在文件底部了,这给了我们还原原可执行文件的可能。

这段代码的作用是释放原可执行文件到 C:\Windows(c:\Winnt)下面,顺带着释放出dll.dll, rundl132.exe 等病毒下载系统, 因此C:\windows下面如果发现可疑的可执行文件反而不一定是病毒。

判断方法和处理方法很简单,用文本编辑器打开一个可能被感染的可执行文件,察看距离文件头很近的以串描述,正常的windows程序应该如下:

This program must be run under Win32

This program can not be run in dos mode

如果被威金感染则成:

This program must be run  BKwdin32

这就是威金的自我判断标记,不会重复感染已经感染的文件.

知道了原理后,写一个专杀工具就很简单了,先把一个被病毒感染的文件同原文件相比,
增长出来的部分即病毒头, 然后自己写个工具判断一下特征码, 把头部去除即可。
作者: lingyun36006    时间: 2006-10-31 08:31
真的好强啊,楼主
作者: qqt410172303    时间: 2006-10-31 08:32
这就是威金的自我判断标记,不会重复感染已经感染的文件.
这个就是瞎说,这个病毒是可以重复感染的。

病毒出来很久了,也没有个有效的专杀,难道世上这么多杀毒公司都是吃干饭的?
作者: liuxiaochu    时间: 2006-10-31 08:34
原帖由 村民 于 2006-10-31 08:32 发表


这个就是瞎说,这个病毒是可以重复感染的。

病毒出来很久了,也没有个有效的专杀,难道世上这么多杀毒公司都是吃干饭的?
病毒是可以重复感染的没错,那是因为你已经把它杀掉过了(也就是还原了),据我调查,威金
决没蠢到去对一个可执行文件加2个PE头。
作者: gl008    时间: 2006-10-31 08:36
原帖由 村民 于 2006-10-31 08:32 发表

病毒出来很久了,也没有个有效的专杀
病毒的变种太多,这就是我没有直接指出病毒的长度和其其它特征,据我观察,一次基本上中的是一种
变种的威金,杀毒软件再怎么厉害也斗不过不断变化的病毒。
作者: cqsunpin    时间: 2006-10-31 08:40
原帖由 村民 于 2006-10-31 08:32 发表


这个就是瞎说,这个病毒是可以重复感染的。

病毒出来很久了,也没有个有效的专杀,难道世上这么多杀毒公司都是吃干饭的?
这也不能怪杀毒公司,只能说这个病毒变种太多,只要样本能100%收集到,这个病毒不难查杀,而且可以直接清除被感染文件,不需要删除。
根据我对几个病毒样本的分析,也未发现重复感染的情况,实际情况是:
感染-解除-感染。。。
这个循环的过程。
作者: BY612    时间: 2006-10-31 10:04
我的机子被感染后以串描述还是This program cannot be run in DOS mode.但是打不开
作者: web123    时间: 2006-10-31 10:11
深受其害 现在好多资料都的重新下载 下不到的只能删除了
作者: www66    时间: 2006-10-31 10:54
厉害啊!!杀得了吗????一般的杀毒软件?
作者: fuchaosheng    时间: 2006-10-31 14:05
重复不重复,不用分析代码,直接就能看得见。

我给不少染毒机清理过程中,发现不少文件感染了这个病毒,但是杀过1次之后(注意是杀毒,而不是删除),第2次再查杀发现还是有毒,并且运行该文件之后,机器立即又被染毒,我就觉得很奇怪。

于是就监视这些个文件,发现这些染毒文件大小都很大,有的有几十兆,而且没有原来的程序图标(整个原文件被病毒外壳包住了)。在开着实时杀毒的状况下,文件图示在不停的闪动,文件大小在不断的减小(在实时剥除一层层的病毒外壳),直到文件不闪并且出现原图标,这个时候再运行文件就正常了,系统也不会中毒了。

所以啊,网上很多人说病毒不杀了,实际上并不是这样的。而是因为病毒重复感染得太多层了,目前的一些杀毒软件(我不是说全部啊,因为自己用杀软不多,无法断言,只是针对卡巴而言)估计没完善考虑到这种情况,不能一次性完全剥离病毒外壳,导致系统杀不干净。
作者: msl998    时间: 2006-10-31 16:02
原帖由 村民 于 2006-10-31 14:05 发表
重复不重复,不用分析代码,直接就能看得见。

我给不少染毒机清理过程中,发现不少文件感染了这个病毒,但是杀过1次之后(注意是杀毒,而不是删除),第2次再查杀发现还是有毒,并且运行该文件之后,机器立即又被 ...
这种交叉感染的情况还真没遇到过,那个人也够厉害,同时中多个变种。可能杀毒软件制作者也不容易想到,即使想到了,也要在所有变种都能清除的情况下才能彻底还原文件,这就更加大了病毒清除的难度。
作者: dkwmmm    时间: 2006-10-31 20:33
原帖由 iNPRwANG 于 2006-10-31 08:21 发表
稍微分析了下病毒感染的文件,发现只不过在原可执行文件(PE)头部加了一段代码,

也就是说,原可执行文件被埋在文件底部了,这给了我们还原原可执行文件的可能。

这段代码的作用是释放原可执行文件到 C:\Win ...
没有这么简单,病毒对exe文件的尾部也更改增加了代码




欢迎光临 热点科技 (http://www.itheat.com/activity/) Powered by Discuz! X3.2