七月终结者病毒的简介
\u5982\u679c\u4e2d\u4e86\u7ec8\u7ed3\u8005\u75c5\u6bd2\u600e\u4e48\u529e\uff1f1\u3001\u4e0a\u7f51\u76d1\u63a7\u5e76\u4e0d\u9700\u8981\u88ab\u76d1\u89c6\u7535\u8111\u5b89\u88c5\u8f6f\u4ef6\u7684,\u5185\u7f51\u76d1\u63a7\u624d\u9700\u8981\u5b89\u88c5\u5de5\u4f5c\u7ad9\uff1b
2\u3001\u5bf9\u4ed8ARP\u653b\u51fb\u65b9\u5f0f\u76d1\u63a7\u8f6f\u4ef6\u7684\u89e3\u51b3\u65b9\u6cd5\uff1a\u8def\u7531\u7ed1\u5b9aIP\u548cMAC\uff0c\u88ab\u76d1\u89c6\u7535\u8111\u5b89\u88c5\u5f69\u5f71\u7684ANTIARP\uff0c\u6240\u6709ARP\u653b\u51fb\u6240\u8c13\u76d1\u63a7\u8f6f\u4ef6\u5c31\u81ea\u52a8\u6210\u5e9f\u7269\u4e0d\u7528\u7ba1\u4ed6\uff1b\u6bd4\u5982P2P\u7ec8\u7ed3\u3001\u6267\u6cd5\u5b98\u3001\u957f\u89d2\u725b\u3001\u805a\u751f\u3001\u5e7d\u72d7\u3001\u526a\u5200\u624b\u7b49\uff0c\u8fd9\u4e9b\u5168\u6210\u5e9f\u7269\u5783\u573e\u4e86\uff1b360ARP\u706b\u5899\u6216\u745e\u661f\u7b49\u7684\u6548\u7387\u592a\u4f4e\u662f\u53ef\u80fd\u65e0\u7528\u7684\u54e6\uff1b\u90a3\u4e9b\u5783\u573e\u8f6f\u4ef6\u90fd\u662f\u91c7\u7528\u727a\u7272\u7f51\u7edc\u5e26\u5bbd\u4e3a\u4ee3\u4ef7\u75af\u72c2\u53d1\u9001ARP\u653b\u51fb\u5305\u7684\u65b9\u6cd5\uff0c\u6240\u4ee5\u7f51\u7edc\u7ecf\u5e38\u6389\u7ebf\u6216\u7f51\u7edc\u762b\u75ea\u5c31\u662f\u8fd9\u4e2a\u539f\u56e0\uff1b
3\u3001\u5bf9\u4ed8WINPCAP\u514d\u8d39\u63a5\u53e3\u9a71\u52a8\u7684\u65c1\u542c\u76d1\u63a7\u8f6f\u4ef6\u65b9\u6cd5\uff1a\u68c0\u67e5\u662f\u5426\u8def\u7531\u51fa\u6765\u8fde\u63a5\u4e86\u4e00\u4e2a\u5171\u4eab\u5f0fHUB\uff0810M\u8001\u5f0fHUB\uff09\uff0c\u8fde\u63a5\u7684\u65b9\u6cd5\u662f\u4e00\u5934\u8fde\u63a5\u8def\u7531\uff0c\u4e00\u5934\u8fde\u63a5\u4ea4\u6362\u673a\uff0c\u4e00\u5934\u8fde\u63a5\u4e00\u4e2a\u7ba1\u7406\u7535\u8111\uff0c\u800c\u8fd9\u4e2a\u7535\u8111\u5c31\u662f\u91c7\u7528WINPCAP\u514d\u8d39\u6559\u5b66\u63a5\u53e3\u505a\u7684\u73a9\u5177\u7c7b\u7684\u65c1\u542c\u76d1\u63a7\u8f6f\u4ef6\uff1b\u4f60\u53ea\u8981\u5378\u6389WINPCAP\u9a71\u52a8\u6216\u53bb\u6389\u90a3\u4e2aHUB\uff0c\u6216\u628a\u4f60\u7684\u7f51\u7ebf\u76f4\u63a5\u8fde\u63a5\u5230\u51fa\u53e3\u8def\u7531\uff0c\u90a3\u4e48\u4ed6\u4eec\u5c31\u5931\u53bb\u4e86\u4f5c\u7528\u4e86\uff1b
4\u3001\u503c\u5f97\u6ce8\u610f\u7684\u662f\uff0c\u7c7b\u4f3cANYVIEW(\u7f51\u7edc\u8b66\uff09\u8fd9\u6837\u7684\u7f51\u7edc\u76d1\u63a7\u8f6f\u4ef6\uff0c\u505a\u6210\u4e86\u7f51\u6865\u6216\u7f51\u5173\u6a21\u5f0f\u7684\u8bdd\uff0c\u4f60\u662f\u600e\u4e48\u90fd\u9003\u907f\u4e0d\u4e86\u88ab\u76d1\u89c6\u7684\u4e86\uff0c\u9664\u975e\u4f60\u4e0d\u4e0a\u7f51\uff1b\u6216\u62d4\u6389\u7f51\u7ebf\uff1b
5\u3001\u5047\u5982\u4f60\u7684\u7f51\u7edc\u53d8\u6162\u6216\u4e00\u4e9b\u5e94\u7528\u65e0\u6cd5\u7528\u4e86\uff0c\u6216P2P\u901f\u5ea6\u5f88\u4f4e\uff0c\u662f\u5426\u7f51\u7edc\u83ab\u540d\u5176\u5999\u6389\u7ebf\uff1b\u90a3\u4e48\u4f60\u5c31\u5e94\u8be5\u68c0\u67e5\u662f\u5426ARP\u88ab\u653b\u51fb\uff0c\u662f\u5426\u88ab\u8fde\u63a5\u4e86HUB\u7b49\uff1b\u6b63\u88ab\u7f51\u7edc\u76d1\u63a7\u4e2d
\u7528360\u7cfb\u7edf\u6025\u6551\u7bb1\u91cc\u7684\u4fee\u590d\u5de5\u5177\u5373\u53ef\u89e3\u51b3\uff01
\u7b2c\u4e00\u6b65\uff1a\u67e5\u6740\u6807\u7b7e---\u5f00\u59cb\u6025\u6551
\u7b2c\u4e8c\u6b65\uff1a\u9694\u79bb\u6062\u590d\u6807\u7b7e----\u5168\u9009---\u7acb\u5373\u6062\u590d
\u7b2c\u4e09\u6b65\uff1a\u4fee\u590d\u6807\u7b7e--\u5168\u9009---\u7acb\u5373\u4fee\u590d
\u4e09\u6b65\u8fc7\u540e\uff0c\u770b\u770b\u662f\u5426\u641e\u5b9a\u4e86\uff1f
360\u7cfb\u7edf\u6025\u6551\u7bb1(\u539f\u987d\u56fa\u6728\u9a6c\u4e13\u6740\u5927\u5168)\u4e0b\u8f7d\u7f51\u5740\uff1a
http://www.360.cn/killer/360compkill.html
1、病毒运行后首先会将自身属性设置为“系统,隐藏”,并判断当前同目录下是否存在autorun.inf文件,如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf文件,则设置该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE”的互斥量,保证系统只有一个实例运行。
2、查找是否有ekrn.exe进程,如果有则执行如下指令
cmd /c sc delete ekrn
cmd /c taskkill /im ekrn.exe /f
cmd /c taskkill /im egui.exe /f
查找是否有nod32krn.exe进程,如果有则执行如下指令
cmd /c sc delete nod32krn
cmd /c taskkill /im nod32krn.exe /f
cmd /c taskkill /im nod32gui.exe /f
3、创建多个线程执行不同操作
线程1:在临时文件夹下释放一个dll?.tmp的文件,并获取其导出表中的Rkdll函数地址,并加载该Dll文件
线程2:检查%windir%\system32\dllcache\linkinfo.dll是否存在,如果不存在则将%windir%\system32\linkinfo.dll复制到%windir%\system32\dllcache\linkinfo.dll
线程3:每隔30秒查找是否有360tray.exe这个进程,如果有则释放\\Fonts\\safeme.sys和\\Fonts\\safeg.sys这两个驱动。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的进程,得到它们的pid,并传给\\Fonts\\safeme.sys这个驱动,该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存,使他们退出。加载\\Fonts\\safeg.sys这个驱动,并直接向该驱动发IRP删除C:\Program Files\360safe\safemon\360Tray.exe,D:\Program Files\360safe\safemon\360tray.exe,E:\Program Files\360safe\safemon\360tray.exe。
线程4:对avp.exe实行IFEO映像劫持,指向ntsd.exe;释放驱动\\fonts\\dansl.sys,该驱动为机器狗类驱动,直接在系统底层替换掉%windir%\system32\linkinfo.dll
线程5:每隔30秒,向所有分区的根目录下释放autorun.inf和RGER.PIF。
绛旓細1銆鐥呮瘨杩愯鍚庨鍏堜細灏嗚嚜韬睘鎬ц缃负鈥滅郴缁燂紝闅愯棌鈥濓紝骞跺垽鏂綋鍓嶅悓鐩綍涓嬫槸鍚﹀瓨鍦╝utorun.inf鏂囦欢锛屽鏋滃瓨鍦ㄥ垯鎵撳紑褰撳墠鐥呮瘨鎵鍦ㄧ殑鐩樼銆傚鏋滀笉瀛樺湪autorun.inf鏂囦欢锛屽垯璁剧疆璇ョ梾姣掓湰浣撳湪閲嶅惎璁$畻鏈哄悗鍒犻櫎銆傚垱寤轰竴涓悕涓衡淢YLASTONE鈥濈殑浜掓枼閲忥紝淇濊瘉绯荤粺鍙湁涓涓疄渚嬭繍琛屻2銆佹煡鎵炬槸鍚︽湁ekrn.exe杩涚▼锛屽鏋滄湁...
绛旓細涓冩湀涓夋棩锛屽湪澶栨槦浜轰笉鐣欐椿鍙g殑鏀诲嚮鍘熷垯涓嬶紝鍦扮悆涓婂悇涓昏閮藉競锛屽寘鎷礇鏉夌煻锛岀航绾﹂兘绾风悍琚鏄熷叆渚佃呮懅姣侊紝鑰屼粬浠笅涓涓洰鏍囨槸缇庡浗鐧藉銆傛鏃跺叏涓栫晫宸插叆鏋佸害鐨勬亹鎱岋紝缇庡浗鎬荤粺(姣斿皵鏅浖楗)鑱斿悎鍚勫浗棰嗚鍏卞晢瑙e喅涔嬮亾锛岀瀛﹀(鏉板か楂樺竷浼﹂グ)鍜岀┖鍐涗笂鏍″彶钂傝姮甯屽皵(濞佸皵鍙插瘑鏂グ)涔熷悎浣滀负浜虹被鐨勫懡杩愬鏂楋紝杩欐椂姝﹁...
绛旓細鍘熸潵,濂逛篃鏄竴涓缁堢粨鑰鏈哄櫒浜,濂圭殑浠诲姟灏辨槸淇濇姢John銆傚湪绗竴闆嗗紑濮嬬殑鏌愪釜绮惧僵鐗囨柇涓,John鍜孋ameron璁炬硶鎽嗚劚浜咰romartie鐨勮拷韪,浣嗘槸Cromartie鍋剁劧鍙戠幇浜哠arah鐨勫瓨鍦,浜庢槸閲囩敤鍜屻婄粓缁撹呫嬬數褰变腑鐩稿悓鐨"澹伴煶娆洪獥"鎵嬫璇遍獥John涓婂綋銆傚湪鍙︿竴涓簿褰╃墖鏂腑,John銆丆ameron鍜孲arah椹捐溅閫冧骸,宸茬粡閬埌鎹熷潖鐨凜romartie浠嶇劧绌疯拷涓嶈垗,鍦...
绛旓細5.銆婄瀿澶╄繃娴凤細缇庝汉璁°嬪鏋滀笂杩扮數褰变綘瑙夊緱骞翠唬澶箙杩滀笉閫傚悎瑙傜湅锛岄偅杩欓儴浠婂勾6鏈堜唤涓婃槧鐨勩婄瀿澶╄繃娴凤細缇庝汉璁°嬬粷瀵硅兘璁╀綘澶чケ鐪肩銆傝繖閮ㄧ敱缇庡浗鐭ュ悕濂虫紨鍛樹滑鍜岀淮瀵嗚秴妯′滑涓绘紨鐨勭姱缃數褰辩湡鏄浜烘缃笉鑳斤紝杩欎箞缇庝附鐨勫伔鐩楁墜锛岀畝鐩磋浜轰涪浜嗛瓊銆
绛旓細涓冩湀(np) txt鍏ㄩ泦灏忚闄勪欢宸蹭笂浼犲埌鐧惧害缃戠洏锛岀偣鍑诲厤璐逛笅杞斤細鍐呭棰勮锛歋2 缁堢粨鑰浜嬫儏鍙戝睍寰楁湁浜涙剰澶栥傚綋鎴戣刀鍒版鍥界殗瀹椂锛屽彧鏈夋极澶╅鑸炵殑椴滆锛屽埡榧昏屽帇鎶戠殑姘旀伅銆傘庝粬鏉ヤ簡銆傘忓皬鐧芥牸澶栦弗鑲冨湴鏈涚潃鎴戯紝鍗婃檶锛屾贰娣″湴璇达紝鐪煎簳婊℃槸鎷呭咖銆傛垜鐭ラ亾锛屼粬鏉ヤ簡銆備笁骞翠箣鏈熷凡鍒帮紝鏈変簺浜嬫儏锛岀粓绌舵槸韬蹭笉杩囥傚ソ涔呬笉瑙侊紝...
绛旓細涔旀不路鍗㈠崱鏂璁″嚭鐨勫畬鏁粹滄槦鐞冨ぇ鎴樺畤瀹欌濇槸姝ょ郴鍒椾箣鎵浠ュ姝ゅ巻涔呭讥鏂扮殑涓诲洜銆傛渶鍏堟媿鐨勪笁閮ㄦ洸鍏跺疄鏄郴鍒楃殑绗4銆5銆6閮紝1999骞村啀鎷嶇殑鏂颁笁閮ㄦ洸锛屾墠鏄郴鍒楃殑绗1銆2銆3閮ㄣ2015骞寸殑銆婃槦鐞冨ぇ鎴7锛氬師鍔涜閱掋嬫洿鍒涗笅鍏ㄧ悆鐮20浜跨編閲戠殑绁ㄦ埧銆2銆併婅潤铦犱緺銆嬬郴鍒 铦欒潬渚犱竴鐩存槸澶ч摱骞曚腑鐨勭エ鎴胯嫳闆勶紝浠庤繄鍏嬪皵路...
绛旓細娲炬媺钂欐棭鍓嶆暡瀹氫簡銆缁堢粨鑰6銆嬪拰銆婄粓缁撹7銆嬬殑涓婃槧鏃ユ湡锛屼袱閮ㄥ奖鐗囧垎鍒畾妗2017骞5鏈19鏃ュ拰2018骞6鏈29鏃ャ傘婄粓缁撹6锛氶粦鏆楀懡杩愩嬫槸鎻愬路绫冲嫆鎵у锛岄樋璇哄痉路鏂界摝杈涙牸銆佺惓杈韭锋眽瀵嗗皵椤裤侀害鑲吂路鎴寸淮鏂富婕旂殑绉戝够鐗囥傝鐗囧凡浜2019骞11鏈1鏃ュ湪鍖楃編鍜屼腑鍥藉唴鍦板悓姝ヤ笂鏄犮備絾鏄紝銆婄粓缁撹6锛氶粦鏆楀懡杩愩嬮殢鐫浠や汉...
绛旓細缁堢粨鑰5锛氬垱涓栫邯 涓婃槧鏃ユ湡: 2015-07-01(缇庡浗)閬撳+涓嬪北 涓婃槧鏃ユ湡: 2015-07-03(涓浗澶ч檰)鎹夊璁 涓婃槧鏃ユ湡: 2015-07-16(涓浗澶ч檰)灏忛粍浜 涓婃槧鏃ユ湡: 2015-07-10(缇庡浗)铓佷汉 涓婃槧鏃ユ湡: 2015-07-17(缇庡浗)鐓庨ゼ渚 涓婃槧鏃ユ湡: 2015-07-17(涓浗澶ч檰)鐮撮 涓婃槧鏃ユ湡: 2015-07(涓浗澶ч檰)...
绛旓細鐗瑰埆琛屽姩闃熼槦闀跨憺鍗氬皵锛堝崱灏斅峰巹鏈グ锛夈佸+瀹橀暱钀ㄥ悏锛堚滃博鐭斥 绾︾堪閫婇グ锛夊甫鐫鍏悕闃熷憳杩呴熺櫥闄嗕互鏁戞彺鍩哄湴鍐呯殑骞稿瓨鑰咃紝鍙綋浠栦滑杩涘叆鍩哄湴鏃讹紝鍙戠幇瀹為獙瀹や笉浠呬竴鐗囩嫾钘夛紝鑰屼笖瀹為獙瀹ら噷婊℃槸鎬墿銆傛洿鍙曠殑鏄紝杩欎簺琛屼负鎬紓鐨勭敓鐗╁苟闈炴潵鑷鏄燂紝鑰屾槸鍙楀埌鏌愮鏈煡鐥呮瘨鎰熸煋鍚庣殑浜虹被锛侀潰瀵归殢鏃跺彲鑳借鎰熸煋鐨勫嵄闄╋紝钀ㄥ悏...
绛旓細缁堢粨鑰锛氬垱涓栫邯锛屼笂鏄犳棩鏈 2015-08-23 鏆楁潃锛屼笂鏄犳棩鏈 2015-08-25 杩欓噷鐨勯粠鏄庨潤鎮勬倓锛屼笂鏄犳棩鏈 2015-08-25 澶忔礇鐗圭儲鎭硷紝涓婃槧鏃ユ湡 2015-08-27 鍒哄鑱傞殣濞橈紝涓婃槧鏃ユ湡 2015-08-27 涓夊煄璁帮紝涓婃槧鏃ユ湡 2015-08-28 鎯呮晫铚滄湀锛屼笂鏄犳棩鏈 2015-08-28 鍌懡绗︼紝涓婃槧鏃ユ湡 2015-08-28 鐧惧洟澶ф垬锛屼笂鏄犳棩鏈 2015...
