提示:當你看到這個提示的時候,說明當前的文章是由原emlog博客系統搬遷至此的,文章發布時間已過於久遠,編排和內容不一定完整,還請諒解`
程式設計師日常中病毒系列
日期:2017-5-4 阿珏 談天說地 瀏覽:2947 次 評論:3 條
DropFileName = "svchost.exe" 問題解決方案
事情是這樣的,一朋友發來源碼讓我看下,手殘不小心點到裡頭的一個exe文件,彈出聯網請求,我便迅速關掉,之後發現同目錄多了一個偽裝成系統音樂文件夾的exe可執行文件。我就感覺到事情不妙了,但是又不能確定,隨後刪除這整個文件夾時提示有程式正在使用。
我就放那暫時沒有管他了,之後的兩三個小時,越發覺電腦響應的速度越慢了,物理內存飆高。就將電腦重啟了。
之後就想寫寫程式碼,打開一個html的文件,發現大事情了,電腦所有的html都出問題了(如下圖所示)。現在可以確定確實是感染病毒了。
然後馬上馬不停蹄的再次下載了個360,對電腦進行了全盤查殺(不要問我為什麼下載360),長期裸奔的電腦,難免會來個一兩次的。
單個測試,發現360只會把病毒程式碼刪掉,不會把這個文件刪掉,但是最下方被註釋掉的部分程式碼就不會刪掉了,到最後我還得要手動在處理一遍,雖然不處理也沒什麼太大問題,但是強迫症,苦逼( ╯▽╰)
程式碼原理(作用):
這串script程式碼是一串vbs語言的病毒,中了改病毒後你會發現你的本地所有html文檔打開後都會有這樣一串字符,不僅僅是html文檔,連dll文檔也會被感染。當然這種病毒不要太驚慌,因為他只是起到破壞文件的作用,不會有上傳隱私,盜號等危害。
這串程式碼大概意思就是找到svchost.exe這個進程然後注入數據運行,注入的就是後面的進制程式碼來運行。這種病毒和其他病毒不同的是這種vbs病毒感染能力非常強,html文件一旦被感染,那麼用戶只要打開html文檔病毒就運行上面改程式碼導致病毒直接感染到本地電腦全部html文件和dll文件。
的確,DLL文件也會被感染,導致部分軟體可以正常使用,不過殺毒軟體會報毒。而且你會發現你運行很多常用軟體都會報毒,比如以前常用的迅雷丶酷狗等等一些常用的軟體你再打開的時候居然提示都有病毒,當時我就覺得特別奇怪,迅雷是在官網下載的怎麼可能會報毒呢?所以這裡的原因就是vbs病毒感染了迅雷等軟體的安裝文件中的dll,所以殺毒軟體會不停的報毒,報毒名稱也是vbs腳本病毒。
提示:文中圖片已被外星人劫走
網友評論:
楊小傑博客 3 年前 (2018-05-21)
我猜需要騰訊安全管家:
急救箱、文檔守護者、漏洞修復、詐騙信息查詢 4 大安全能力再升級,
全面守護安全,讓你更無所懼。
自研殺毒引擎,能力引領國際,屢獲國際評測認證,黑客大賽榮耀加冕
遇到頑固病毒清除不了?打開管家工具箱,在【系統】分類下,找到系統急救箱。
管家急救箱通過自建虛擬系統技術,深入系統底層查殺頑固病毒,操作簡單,只需重啟一次就能搞定!
當某個文檔不小心被誤刪除了,可以打開誤刪文檔找回功能,此時文件列表會出現近期被刪除的文檔,找到您想要的文件勾選後,點擊開始還原 再選擇一個置頂的導出路徑,點擊確認還原就搞定啦!
兔子 4 年前 (2017-08-18)
看起來 很可怕的趕腳。。。阿珏 4 年前 (2017-08-18)
@兔子:少俠,留言不留下身份嗎