电脑蠕虫病毒
843
|
0
|
win
|
摘星怪

1056 字
|
5 分钟

起因

元旦那两天安装了一个游戏软件就是下面这个上号器

  • 就是图中叫GTA5的上号软件,这是找了一个博主要了一个免登录软件,刚开始没当回事,什么以管理员身份运行,后台进程之类的我都没管,想着既然是魔法,就要pc权限,系统报毒也正常。因为经常在主机和虚拟机之间运行软件,自带的病毒查杀关了,包括FireWall。但实际情况是最近电脑内存感觉挺吃力,于是就把一些软件删了。但是却出现了以下问题。

双击打开某个程序,就弹出这个程序,Synaptics.exe说是和触摸板有关,

但是我这个老是莫名弹出来一个我没安装的程序,比如运行其他软件时候就会弹出来

  • 结合之前安装的软件,以及最近使用体验来讲不是触摸板的问题。于是上网查了一下
  • 又想到之前比如有些应用,莫名更改语言,这就算了,QQ竟然直接给我报错运行不了。一些程序根目录图标被更改,就是那个上号软件的女动漫卡通头像

QQ是重灾区

程序图标被更改

面对我两块移动硬盘,我担心会把数据感染了。

处理应对

  • 查了一下蠕虫病毒特点

1. 行动轨迹

一是:其在C:\ProgramData\Synaptics创建原始病毒文件夹,内含“WS”子文件夹(为空)和“Synaptics.exe”文件(大小:754KB)

Synaptics.exe我已经删除过了,就剩一个WS

二是:其在C:\用户\***\AppData\Local\Temp中,释放文件“qk3296d7.exe”(大小:753KB,CRC32:7EB2AB4D)。

这个程序太多了我没找到

2. 病毒感染特点:

① 运行第一次感染的可执行程序,并使用其感染程序图标,其后随着使用者运行感染程序而改变。

② 可执行程序被感染后,右键属性后发现“描述”内容被改变为:“Synaptics Pointing Device Driver”。

③ 被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为:“._cache_”的病毒文件。

④ 系统被感染后,对任何插入的U盘,都会被病毒搜索到,并立即采取遍历可执行文件的方式感染。成为新的感染源,使用者在不知不觉中,只要在其它电脑上运行U盘中的程序,就会感染其它电脑。

⑤ 病毒只感染可执行文件,无法感染压缩文件。

⑥ 病毒首次在硬盘或U盘被触发传染时,硬盘灯或U盘指示灯会狂闪(说明在病毒在疯狂感染文件,也就是写文件的过程),同时会莫名弹窗提示文件没有权限,这可能是病毒Bug,也是提醒我们系统已经异常的警报。

⑦ 其在注册表中创建2个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mydesk"
"hkey"="HKCU"
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Synaptics Pointing Device Driver"
"hkey"="HKLM"
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

前期处理,用电脑管家,清不掉,因为平时我都是使用虚拟机所以电脑管家自带的都不用,包括病毒查杀一直关着的。结果电脑管家杀不掉

下载一个火绒扫了一下……开始担心我的移动硬盘

总结

已经两次电脑大“伤“,第一次因为安装桌面美化软件,找到最后因为不兼容,PC蓝屏,不得不重置了电脑。因此得出了一句话:美化的尽头是默认。这次也是被流氓软件钻了空子。因此一定一定要吸取教训。在虚拟环境验过”毒“之后在部署。

文章作者:摘星怪
版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明文章地址及作者
杀毒随笔
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章