后门狂奔者reper.exe专杀
来源:互联网 发布:imagesloaded.js用法 编辑:程序博客网 时间:2024/04/27 13:39
病毒名称:Win32.Troj.Reper 影响系统:Win9x / WinNT 处理时间:
中文名称:瑞普 病毒类型:木马 威胁级别: ★★
病毒别名:Trojan.Reper[KV]
病毒行为
该病毒伪装成记事本文件,一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项,以使每次开机都运行病毒;病毒还修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又悄悄地运行起来。病毒会关闭Windows 任务管理器,注册表编辑器,进程查看器,命令行窗口程序,进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程,这将关闭众多的反病毒软件,大大降低了中毒机器的安全性能,给其他病毒大开方便之门。病毒还激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator",为黑客攻击打开后门。
1.病毒检查当前目录,如果是根目录,就创建Explorer进程,打开当前目录;如果不是根目录,就创建互斥体nothing,防止多个实例同时运行
2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
%SystemRoot%/svchost.exe
%System%/N0TEPAD.EXE
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/login.pif
C:/Documents and Settings/<当前用户名>/「开始」菜单/程序/启动/login.pif
修改文件C:/autoexec.bat内容。
并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe (该文件是病毒的副本)
autorun.inf
autorun.inf文件的内容为:
[autorun]
open=reper.exe
当用户打开磁盘的时候病毒就自动运行了。
3.修改注册表。
添加启动项:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
"Services"="%SystemRoot%/svchost.exe"
修改文本文件关联程序为病毒文件:
HKCR/txtfile/shell/open/command/
"默认"="%System%/N0TEPAD.EXE %1"
4.创建两个线程,一个时钟。
1)一个线程用来关闭特定的进程:
regedit.exe
cmd.exe
ntvdm.exe
以及进程名中包含任意任意一下字符串的进程:
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"
2)另一个进程用来每2分钟运行一次C:/autoexec.bat。该文件被修改以后运行,将激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator"。
3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。
后来 在一个blog上找到了专杀的工具,用起来不错 不过要反复点击很多次。
下载地址: Reper&System-killer
处理完还得更新一下注册表,要不会出现Windows无法打开,找不到reper.exe
注册表信息如下:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
[HKEY_CLASSES_ROOT/exefile/DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT/exefile/shell]
[HKEY_CLASSES_ROOT/exefile/shell/open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT/exefile/shell/open/command]
@="/"%1/" %*"
[HKEY_CLASSES_ROOT/exefile/shell/runas]
"Extended"=""
[HKEY_CLASSES_ROOT/exefile/shell/runas/command]
@="/"%1/" %*"
[HKEY_CLASSES_ROOT/exefile/shellex]
[HKEY_CLASSES_ROOT/exefile/shellex/DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers]
[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers/PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT/exefile/shellex/PropertySheetHandlers/{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""
[HKEY_CLASSES_ROOT/txtfile/shell/open/command]
@="NOTEPAD.EXE %1"
最后注意事项:
如果做了以上两步再次运行还出现reper.exe那表明机器内病毒文件没有清除干净,需要将有些隐藏在RECYCLER下的相关文件彻底清除掉,基本上就没什么问题了.
- 后门狂奔者reper.exe专杀
- 后门病毒iexplores.exe的介绍
- 后门
- 后门
- 后门
- 午夜狂奔
- 《午夜狂奔》
- 午夜狂奔
- 继续狂奔
- 热情狂奔
- hh.exe的隐藏参数 【微软的后门】
- hh.exe的隐藏参数 【微软的后门】
- sdcs V2.3 exe/dll 正+反弹后门
- NC.EXE结合线程插入技术做的一个后门
- 利用WMI打造完美三无后门(scrcons.exe)
- python str和reper的区别
- leo雨夜狂奔记
- 夜·狂奔
- SUN工作站显示部分系统管理初步
- UserType实例——User的Email列表
- 两种必读的东西
- Symbian 智能指针
- 最近想做一些windwos的项目!
- 后门狂奔者reper.exe专杀
- http://www.howstuffworks.com/
- servlet的配置方法
- C#中对数据库的调用
- 迁移到 ASP .NET:需考虑的重要问题
- 人生无趣,工作无聊
- SAS9应用:配置让JDBC、ODBC访问SAS9
- 程序开发的心理研究——“以人为本”
- spring中的BeanWrapper,Bean Factory,ApplicationContext