my_70530.exe是一個進程檔案。
my_70530.exe運行後在%windows%目錄下釋放病毒檔案tempq。tempq通過80連線埠訪問網路58.221.7.41(圖1、圖2)
此後,在系統驅動目錄下釋放兩個病毒驅動.sys,在system32目錄下釋放一個病毒檔案.dll。這三個病毒檔案名稱隨機變化(數字、字母搭配,位數不固定。本次釋放的病毒檔案見圖2-4。)。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支下添加兩個驅動項,驅動項名稱與上述兩個.sys的檔案名稱相同。
中招後,用IceSword查看進程列表————無異常進程。
1、在“應用程式訪問控制”中添加規則,禁止任何程式訪問這三個病毒檔案。
2、在“程式啟動控制”中添加規則,禁止任何程式啟動這三個病毒程式。
3、重啟。用IceSword刪除病毒這四個檔案及其驅動項。病毒添加的驅動項只能刪除其中一個,另外一個刪不掉。再次重啟。
4、重啟後系統報錯(圖5)。不理它(這是病毒dll檔案被刪除引起的)。
5、用IceSword刪除剩餘的病毒驅動項(圖6)。
此毒的查殺難點在於:
1、病毒檔案名稱隨即變化。中招後,到論壇求助時務必提供SRENG等工具掃的完整日誌。有經驗的朋友,可以在SRENG或autoruns日誌中發現異常驅動項。
2、那個病毒dll貌似通過rundll32間接載入(中毒後重啟系統,我用SSM觀察到:rundll32.exe試圖改寫explorer.exe記憶體)。註冊表都搜遍了,搜不到與病毒dll有關的載入項。
因此,找到並滅掉這個病毒dll是手工防毒的核心環節。如果沒有HIPS一類的安全工具監控,這個病毒dll難以確定。
