[原创] 威金病毒其实很好分辨

seawind163

威金病毒其实很好分辨
稍微分析了下病毒感染的文件，发现只不过在原可执行文件(PE)头部加了一段代码，

也就是说，原可执行文件被埋在文件底部了，这给了我们还原原可执行文件的可能。

这段代码的作用是释放原可执行文件到 C:\Windows(c:\Winnt)下面，顺带着释放出dll.dll, rundl132.exe 等病毒下载系统, 因此C:\windows下面如果发现可疑的可执行文件反而不一定是病毒。

判断方法和处理方法很简单，用文本编辑器打开一个可能被感染的可执行文件，察看距离文件头很近的以串描述，正常的windows程序应该如下：

This program must be run under Win32
或
This program can not be run in dos mode

如果被威金感染则成:

This program must be run  BKwdin32

这就是威金的自我判断标记,不会重复感染已经感染的文件.

知道了原理后,写一个专杀工具就很简单了,先把一个被病毒感染的文件同原文件相比,
增长出来的部分即病毒头, 然后自己写个工具判断一下特征码, 把头部去除即可。

真的好强啊，楼主

这就是威金的自我判断标记,不会重复感染已经感染的文件.

这个就是瞎说，这个病毒是可以重复感染的。

病毒出来很久了，也没有个有效的专杀，难道世上这么多杀毒公司都是吃干饭的？

原帖由 村民 于 2006-10-31 08:32 发表


这个就是瞎说，这个病毒是可以重复感染的。

病毒出来很久了，也没有个有效的专杀，难道世上这么多杀毒公司都是吃干饭的？

病毒是可以重复感染的没错，那是因为你已经把它杀掉过了(也就是还原了)，据我调查，威金
决没蠢到去对一个可执行文件加2个PE头。

原帖由 村民 于 2006-10-31 08:32 发表

病毒出来很久了，也没有个有效的专杀

病毒的变种太多，这就是我没有直接指出病毒的长度和其其它特征，据我观察，一次基本上中的是一种
变种的威金，杀毒软件再怎么厉害也斗不过不断变化的病毒。

原帖由 村民 于 2006-10-31 08:32 发表


这个就是瞎说，这个病毒是可以重复感染的。

病毒出来很久了，也没有个有效的专杀，难道世上这么多杀毒公司都是吃干饭的？

这也不能怪杀毒公司，只能说这个病毒变种太多，只要样本能100％收集到，这个病毒不难查杀，而且可以直接清除被感染文件，不需要删除。
根据我对几个病毒样本的分析，也未发现重复感染的情况，实际情况是：
感染－解除－感染。。。
这个循环的过程。

我的机子被感染后以串描述还是This program cannot be run in DOS mode.但是打不开

深受其害 现在好多资料都的重新下载 下不到的只能删除了

厉害啊！！杀得了吗？？？？一般的杀毒软件？

重复不重复，不用分析代码，直接就能看得见。

我给不少染毒机清理过程中，发现不少文件感染了这个病毒，但是杀过1次之后(注意是杀毒，而不是删除)，第2次再查杀发现还是有毒，并且运行该文件之后，机器立即又被染毒，我就觉得很奇怪。

于是就监视这些个文件，发现这些染毒文件大小都很大，有的有几十兆，而且没有原来的程序图标(整个原文件被病毒外壳包住了)。在开着实时杀毒的状况下，文件图示在不停的闪动，文件大小在不断的减小(在实时剥除一层层的病毒外壳)，直到文件不闪并且出现原图标，这个时候再运行文件就正常了，系统也不会中毒了。

所以啊，网上很多人说病毒不杀了，实际上并不是这样的。而是因为病毒重复感染得太多层了，目前的一些杀毒软件(我不是说全部啊，因为自己用杀软不多，无法断言，只是针对卡巴而言)估计没完善考虑到这种情况，不能一次性完全剥离病毒外壳，导致系统杀不干净。