微点工具
Virut病毒专杀工具
文件名称:VirutKiller.zip
文件版本:V1.2
支持语言:中文
文件大小:384,119 字节
更新日期:2011-05-11
软件授权:免费
文件名称:VirutKiller.zip
文件版本:V1.2
支持语言:中文
文件大小:384,119 字节
更新日期:2011-05-11
软件授权:免费
中毒现象:
1、磁盘中扩展名为exe、scr的文件被感染
2、可移动磁盘根目录下存在Autorun.inf
3、Winlogon进程被加入系统默认防火墙信任列表
2、可移动磁盘根目录下存在Autorun.inf
3、Winlogon进程被加入系统默认防火墙信任列表
技术分析:
该病毒是一种使用多态引擎编译的多态感染性病毒,使用“EPO技术”感染PE文件,被感染程序分三类:
1、存在call xxxxxxxx(E8 xxxxxxxx)—>jmp xxxxxxxx(FF25 xxxxxxxx)—>APIs条件,即针对指令E8 xxxxxxxx五字节进行感染,指向病毒代码;
2、存在call xxxxxxxx(FF15 xxxxxxxx)—>APIs条件,即针对指令FF15 xxxxxxxx六字节进行感染,指向病毒代码;
3、不存在上述条件者修改程序OEP指向病毒代码。
该病毒或病毒寄生体被调用后,尝试注入Winlogon.exe进程,开启线程感染磁盘中扩展名为exe、scr的文件,枚举磁盘查找可移动存储器释放autorun.inf及其病毒主程序,添加防火墙默认访问规则,使得病毒寄生进程winlogon可以顺利连接病毒IRC服务器接收控制信息。
1、存在call xxxxxxxx(E8 xxxxxxxx)—>jmp xxxxxxxx(FF25 xxxxxxxx)—>APIs条件,即针对指令E8 xxxxxxxx五字节进行感染,指向病毒代码;
2、存在call xxxxxxxx(FF15 xxxxxxxx)—>APIs条件,即针对指令FF15 xxxxxxxx六字节进行感染,指向病毒代码;
3、不存在上述条件者修改程序OEP指向病毒代码。
该病毒或病毒寄生体被调用后,尝试注入Winlogon.exe进程,开启线程感染磁盘中扩展名为exe、scr的文件,枚举磁盘查找可移动存储器释放autorun.inf及其病毒主程序,添加防火墙默认访问规则,使得病毒寄生进程winlogon可以顺利连接病毒IRC服务器接收控制信息。