ヒント:このヒントを見ると、現在の記事は元のemlogブログシステムから移行されたものであり、記事の公開日が非常に古く、レイアウトや内容が完全でない可能性があります。ご了承ください。
プログラマの日常のウイルスシリーズ
日付:2017-5-4 阿珏 谈天说地 ビュー:2947 回 コメント:3 件
DropFileName = "svchost.exe" 問題の解決策
事の経緯は次のとおりです。友人がソースコードを送ってきて、私に見せてほしいと頼まれました。手が滑って、その中のexeファイルをクリックしてしまい、ネットワーク接続の要求が表示されましたが、すぐに閉じました。その後、同じディレクトリにシステムの音楽フォルダに偽装されたexe実行ファイルが追加されていることに気づきました。何かおかしいと感じましたが、確信が持てず、その後、このフォルダ全体を削除しようとすると、プログラムが使用中であるとのメッセージが表示されました。
とりあえずそのままにしておきましたが、その後2〜3時間経つと、コンピュータの応答速度がますます遅くなり、物理メモリが高くなりました。そのため、コンピュータを再起動しました。
その後、コードを書こうと思い、htmlファイルを開いたところ、大問題が発生しました。コンピュータのすべてのhtmlファイルが問題になっています(以下の画像参照)。今、私は確かにウイルスに感染していることを確認できます。
それからすぐに360を再度ダウンロードして、コンピュータを完全にスキャンしました(なぜ360をダウンロードしたのかは聞かないでください)、長期間裸で使っていたコンピュータには1〜2回の感染が避けられません。
個別のテストでは、360はウイルスコードを削除するだけで、このファイル自体を削除しませんが、下部にコメントアウトされたコードは削除されません。最終的には手動で処理しなければなりませんでした。処理しなくても大きな問題はありませんが、強迫観念です、つらいです( ╯▽╰)
コードの原理(機能):
このスクリプトコードはvbs言語のウイルスで、このウイルスに感染すると、ローカルのすべてのhtmlドキュメントを開くたびに、以下のような文字列が表示されます。htmlドキュメントだけでなく、dllドキュメントも感染します。もちろん、このウイルスはあまり心配しなくても大丈夫です。ファイルの破壊のみを目的としており、プライバシーのアップロードやアカウントの盗難などの危険はありません。
このコードは、svchost.exeというプロセスを見つけてデータを注入して実行するものです。注入されるのは後ろのバイナリコードです。このウイルスは他のウイルスとは異なり、このvbsウイルスの感染能力は非常に強く、htmlファイルが感染すると、ユーザーがhtmlドキュメントを開くだけで、このコードが実行され、ウイルスがローカルコンピュータのすべてのhtmlファイルとdllファイルに感染します。
確かに、DLLファイルも感染しますが、一部のソフトウェアは正常に使用できますが、ウイルス対策ソフトウェアはウイルスを検出します。また、以前はよく使用していたThunderやCool Dogなどの一部の一般的なソフトウェアを実行すると、ウイルスが検出されることがあります。当時、私は非常に奇妙に思いました。Thunderは公式ウェブサイトからダウンロードしたもので、なぜウイルスが検出されるのでしょうか?これはvbsウイルスがThunderなどのソフトウェアのインストールファイルのdllに感染しているため、ウイルス対策ソフトウェアが繰り返しウイルスを検出し、ウイルスの名前もvbsスクリプトウイルスとなります。
ヒント:記事中の画像はエイリアンによって奪われました
ユーザーコメント:
杨小杰のブログ 3 年前 (2018-05-21)
腾讯安全管家が必要だと思います:
救急箱、ドキュメントガーディアン、脆弱性修正、詐欺情報クエリの 4 つのセキュリティ機能をアップグレードし、
セキュリティを総合的に保護し、あなたをより心配させません。
独自のウイルス対策エンジン、能力は国際的に先導し、国際的な評価認証を繰り返し受け、ハッカーコンテストの栄誉を受けています。
頑固なウイルスを削除できない場合は?ツールボックスを開いて、[システム] カテゴリの中から、システムの緊急ボックスを見つけてください。
ガーディアンの緊急ボックスは、自己構築の仮想システム技術を使用して、システムの低レベルまで深く侵入し、頑固なウイルスを検索して削除します。操作は簡単で、1 回再起動するだけで済みます!
ある文書が誤って削除された場合は、誤って削除された文書を開き、最近削除された文書がファイルリストに表示されます。必要なファイルを選択し、[開始] をクリックして復元を確認し、トップのエクスポートパスを選択して、[確認] をクリックすると完了です!
兔子 4 年前 (2017-08-18)
怖い感じですね。。。阿珏 4 年前 (2017-08-18)
@兔子:名前を残さないでコメントを残すのですか