“小狗上学”病毒解析（帮你认识病毒与注册表）

来源：互联网发布：软件测试课件编辑：程序博客网时间：2024/04/29 08:49

这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标，映像劫持杀毒软件...

1.病毒启动后，释放如下文件或者副本
%systemroot%/system32/soleboy.exe
%systemroot%/system32/soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

3.映像劫持如下杀毒软件和安全工具：
360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%/system32/soleboy.exe

4.添加注册表启动项目HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/soleboy: "%systemroot%/system32/soleboy.exe"达到开机启动自身的目的

5.修改com和exe文件的文件关联指向soleboy.exe
HKLM/SOFTWARE/Classes/comfile/shell/open/command/: "soleboy.exe "%1" %*"
HKLM/SOFTWARE/Classes/exefile/shell/open/command/: "soleboy.exe "%1" %*"

6.修改exe的图标关联指向soleboy.exe，使得所有exe图标变成小狗图案。
HKEY_CLASSES_ROOT/exefile/DefaultIcon: "soleboy.exe"

7.查找带有如下字样的窗口，找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
瑞星反病毒资讯网 [信息安全源自瑞星] - Windows Internet Explorer
Windows 任务管理器
注册表编辑器
江民进程查看器
欢迎光临江民科技[网络安全，选择江民] - Windows Internet Explorer
金山毒霸信息安全网－免费下载杀毒软件 - Windows Internet Explorer
卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
360安全卫士－Windows Internet Explorer
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案－赛门铁克公司－Windows Internet Explorer
大型企业 - 趋势科技中国 - Windows Internet Explorer
东方微点 - Windows Internet Explorer
...

8 删除%systemroot%/system32/taskkill.exe

9.作者在soleboy.txt中写道：
I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解决方法：
下载sreng，Icesword

sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

已经安装winrar的请打开winrar的安装路径找到winrar.exe 把他改名为winrar.bat双击运行
然后单击winrar菜单栏“文件”按钮打开压缩文件

分别解压sreng和Icesword
1.把Icesword.exe改名为1.bat运行
打开Icesword－进程
结束soleboy.exe进程

2.同样方法解压sreng
把srengps.exe改名为 2.bat运行
启动项目注册表
删除如下项目
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<soleboy><C:/WINDOWS/system32/soleboy.exe> [Soleboy]
并删除所有红色的IFEO项目

系统修复文件关联点击“修复”按钮
3.开始运行输入regedit
展开HKEY_CLASSES_ROOT/exefile/DefaultIcon 修改该项数据为"%1" （不包括引号）

“小狗上学”病毒 解析（帮你认识病毒与注册表）

“小狗上学”病毒解析（帮你认识病毒与注册表）