前几天用U盘插了别人的电脑,致使自己的电脑中了skypee病毒(暂且叫这个名字吧)。目前我发现的该病毒的针状有,无故创建快捷方式,一般在一级文件夹目录下包含有该文件夹名字的快捷方式,U盘还有一些my games、my pictuers、my videos、hot、downloads、movies之类的类此Windows库文件夹的快捷方式。删除之后又会建立该快捷方式。所有的这些快捷方式都被伪装为了文件夹的标志,并且指向一个叫AutoIt3.exe程序的位置,点击就运行了。由于还好没有联网,该病毒盗取不了什么东西。

国产杀毒软件这个病毒都解决不了,我也是醉了,还要我自己手动杀。哎。。。​

一、我们要找到该病毒的位置。一般病毒都会设置为隐藏,让我们看不见,但这恰恰给了我们找到它的方法。我们先显示隐藏的文件。win7下的步骤为双击“计算机”,左上角的“组织”,出现下拉菜单,点击“文件夹和搜索选项”,就进入了“文件夹选项”界面。点击“查看”,把“隐藏受保护的操作系统文件(推荐)”前面的勾去掉。选择 “显示隐藏的文件、文件夹和驱动器”。​

快捷键 Win + R,再输入 control folders​也可以直接进入“文件夹选项”界面。

1.1显示隐藏的文件-过程图示

二、我们把所有驱动器(包括U盘)下面的隐藏的Skpee文件夹都删除,特别要注意,C盘下面还有一个隐藏的Google文件夹,也要删除,这些文件夹里面都有一个AutoIt3.exe的程序,好像还有一个google快捷方式,还有googleupdate.a3x脚本,记不太清楚了。如果无法删除,显示正在使用之类的,我们打开任务管理器,Ctrl+Alt+delete,再点击“启动任务管理器(K)”,或者直接在win7菜单栏右键,点击“启动任务管理器(K)”。点击“显示所有用户的进程”,把AutoIt3.exe进程结束(点击对应进程,再点击右下角的结束进程)。

可以搜索AutoIt3.exe​,把所有的相关文件都删除,这样比较保险。​

真正的病毒体是googleupdate.a3x

执行时依靠AutoIt3.exe调用googleupdate.a3x脚本。便会执行其中的恶意代码

如:

C:\Windows\system32\cmd.exe /c start skypee\autoit3.exe autoit3executescriptskypee\googleupdate.a3x explorer "�%" & exit

​还有很多人一开机就显示 “找不到C:\Google\googleupdate.a3x”之类,就是应为删除了该文件,没有清理开机启动项、注册表之类的垃圾。

三、删除开机启动项。Win+R,再输入msconfig​,再点击“启动”,把纸箱之前删除的文件相关的开机启动项都删除。有可能隐藏为启动项目为Adobe update之类,注意看清楚“命令”一行中应用程序的实际名字。记住“位置”中相应的键值。用于之后清理注册表。

四、清理注册表​。Win+R,再输入regedit,打开注册表编辑器,点击找到之前记录的位置,将这些注册表删除。

五、删除病毒创建的快捷方式。手动找到一级文件目录下的所有无效快捷方式。第三四五步都可以用一些**杀毒软件、者**安全卫士、**管家来完成。

到这里,病毒就全部清理完成。不放心可以用下杀毒软件做个全盘扫描一下。

六、代码分析(googleupdate.a3x)。

这部分摘抄自 红黑联盟,网址http://www.2cto.com/News/201409/339162.html

代码总共接近3300行,前1300行左右像是复制了一个通用代码。

里面有大量的常量的声明,封装了大量的WinAPI和GDI函数,并定义了大量的字符串、数组操作函数,甚至有限制鼠标活动范围的函数。

但这些预定义好的常量和函数后面用到的却很少。可能是出于作者习惯,每个脚本都要带上这段通用代码方便随时调用。

中间1582行是在拼一个很大的变量,内容是用base64编码过的

解开之后是一个不明身份的小帅哥照片。看照片信息是用三星Galaxy S4手机(GT-i9500)拍摄的,并经过PS处理,但没找到GPS左边或其他有用的信息,无法推断这人是谁……并且病毒执行后也没有调用这段数据,完全是一段垃圾数据。

只有最后的400行是真正的病毒代码。这部分代码主要做了四部分的工作:

一、 检查自身运行环境

二、 创建开机自启动

三、 感染全部磁盘

四、 驻留内存并与服务器通信实现远程控制

【检查自身运行环境】

1. 检查自身是否存在于“c:\google”目录下,或目录中是否包含“skypee”字样,如果都没有则退出

2. 通过创建互斥量“googleupdate”检查自身是否已经运行,如果已经运行则退出,不重复运行

3. 检查自身是否处于被分析的环境中,如果认定自己处于被分析的环境则退出。检查逻辑如下表(字符串检测均不区分大小写):

4. 检查自身是否在“c:\google”目录下,若不在,则将自身当前所在目录复制为“c:\google”,同时将目录设置为只读/系统/隐藏属性,启动新目录下的病毒脚本,并退出自身。

​【创建开机自启动】

手法比较常规,就是写注册表的run项和向“启动”目录添加快捷方式:

1. 注册表run项

2. 向“启动”文件夹写入快捷方式

【感染全部磁盘】

1. 检测注册表值,设置为不显示系统SuperHidden的文件:

2. 遍历本地磁盘,在每个盘符下作如下操作:

a) 在当前盘符根目录下新建名为“skypee”的目录。并将autoit3.exe和病毒脚本复制到该目录下。并将该目录属性设置为“只读/系统/隐藏”

b) 遍历当前盘符根目录下所有文件夹,在每个文件夹下,创建一个与该文件夹同名的快捷方式文件。快捷方式指向a步骤中创建的病毒。并将快捷方式图标设置为文件夹图标

c) 如果当前盘符属性为“removable”(最常见的是U盘),则会在盘符根目录下额外创建如下名称的快捷方式,指向a步骤中的病毒复制体,并将快捷方式图标设置为文件夹:

my games

mypictuers

my videos

hot

downloads

movies

【远程控制】

脚本在完成上述操作之后,会利用一个死循环代码常驻系统内存,并与远端服务器通信实现远程控制。

1. 首先会循环尝试解析服务器列表中的所有域名,一旦解析成功则使用这个解析成功的域名作为连接地址,跳出这个尝试循环。不过脚本本身只在列表中填了一个域名:superyou.zapto.org

2. 进入常驻内存的远控死循环,连通远程服务器的95端口。成功后,会先将本地的机器名、用户名、所在国家、系统版本、当前存在的安全软件等信息发送出去。然后等待远端指令进行进一步操作。接受的指令如下:

由于脚本本身特性所致,很容易被编辑修改。所以分析人员将远控的控制服务器稍作修改,就在自己的机器中实现了对虚拟机内脚本的控制。

此篇博客本人新浪博客地址:http://blog.sina.com.cn/s/blog_9d62d0a50102w0v7.html

手动查杀skypee病毒(AutoIt3木马)相关推荐

  1. 删除Skypee顽固病毒(AutoIt3木马)

    一.Skypee顽固病毒(AutoIt3木马)介绍 中毒症状: 1.无故创建快捷方式,一般在一级文件夹目录下包含有该文件夹名字的快捷方式. 2.U盘还有一些my games.my pictuers.m ...

  2. 实战杀毒系列之手动查杀Netstart病毒(转)

    实战杀毒系列之手动查杀Netstart病毒(转)[@more@] 编者按:这里所用到的各种手动查杀方法,具有一定的通用性.用户在碰到类似情况的时候,可以试着使用这些方法,自行手动查杀. 早上老板的老板 ...

  3. 计算机病毒手动查杀,怎么手动查杀电脑病毒

    怎么手动查杀电脑病毒 你也许会说现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动杀毒就对我们很有帮助,小编 ...

  4. 常见病毒、木马进程速查表

    常见病毒.木马进程速查表 进程名称  →  对应的病毒/木马 .exe  →  BF Evolution                     Mbbmanager.exe  →  聪明基因 _.e ...

  5. 如何给apk安装包去毒,避免被识别为病毒和木马

    本文来源:安卓修改大师 如果您的应用经常被识别为病毒或者木马,将大大影响应用的推广,更影响您的收益.各种安卓平台的安全软件的监管规则越来越严格,您的应用可能一不小心就会进入病毒库,被识别为有害应用.有 ...

  6. 计算机病毒手动查杀,手动查杀电脑病毒的一些基本方法

    引:我现在就跟大家说说手动杀毒的几个常用的方法.你也许会说现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动 ...

  7. 信息安全实验五 之 计算机病毒与黑客实验脚本【恶意网页病毒演示病毒制作木马捆绑】

    信息安全实验五 之 计算机病毒与黑客实验脚本[恶意网页病毒演示&病毒制作&木马捆绑] 一.脚本及恶意网页病毒演示实验 1.创建文件 2.拷贝文件 3.删除文件 4.修改文件 二.病毒详 ...

  8. C语言 linux 木马,C语言写病毒,木马

    以前在网吧花了大投资的游戏账号被心痛的盗过一次,于是到了大学就傻逼傻逼的想写病毒,木马,出出风头,然后到处到处搜索,相关方法,以为这样就能写出病毒木马.一直持续到前段日子,偶尔看到一本关于杀毒软件是怎 ...

  9. 感染了Arp欺骗病毒(木马)

    感染了Arp欺骗病毒(木马)的电脑的症状表现如下: <script type="text/JavaScript"> var alimama_pid="mm_1 ...

最新文章

  1. 数字图像处理4:图像的像素级运算
  2. 在直播问题上,智能电视们不应该沉默
  3. UITableView 学习笔记
  4. 神经网络可视化,真的很像神经元!
  5. bms_output.put_line使用方法
  6. 实现输入提示 layui_ASP.NET Core SignalR :学习消息通讯,实现一个消息通知
  7. 真的掏空了吗?华为开始疯狂出4G手机
  8. DOM节点的插入、替换、克隆及删除
  9. 想做数据化转型,为什么必须要上企业级BI?
  10. C 库函数 - pow()
  11. android中Intent的一些用法和总结
  12. [转载] 用大白话解释Java的方法重载和方法覆盖
  13. 基于CSS+dIV的网页层,点击后隐藏或显示
  14. 苹果Mac更改备忘录默认字体的方法图解
  15. VF 动态规划系列dp入门
  16. 软件开发工作量评估:基于FPA功能点分析法的深入解读
  17. 29-地理空间数据云下载【进阶】
  18. 读《大学生上课为什么一定要认真听讲》有感
  19. 机器学习【期末复习总结】——知识点和算法例题(详细整理)
  20. Django操作数据库

热门文章

  1. 计算机用老毛桃u盘备份系统,如何使用老毛桃winpe系统进行Ghost备份
  2. 计算机硬件系统中外设,计算机及外设 计算机硬件系统
  3. P,AP, MAP,MRR。几种分类器评价指标
  4. C# 对JS解析AJX请求JSON并绑定到html页面的一些心得
  5. GitHub下载加速网站
  6. nginx架构(修改版)
  7. RPM软件包和YUM软件仓库的实例
  8. vue+element实现滚动公告栏效果
  9. HTML5期末大作业:时尚服装购物网站设计——时尚服装购物商城(16页) 关于时尚购物HTML网页设计-----服装
  10. 央行数字货币研究所与农信银资金清算中心合作推进数字人民币应用