哇!自七年前学会上网以来,第一次遇到病毒!激动……
起因
事情是这样的:博主刚去学校的打印室打印资料,回来把 U 盘插到自己的电脑上一看,居然 U 盘里所有的文件夹都变成了 .exe 可执行文件!
刚看到这种情况其实我是懵逼的:完了,我是不是遇到加密敲诈病毒了?我 U 盘里的资料怎么办?卧槽我这好不容易做的启动盘又要格式化重新做了?
处理过程
冷静下来一看,发现了破绽!
首先是这几个“文件夹”大小都是 75.6kb
其次是 U 盘的已用空间与之前相比并没有多大出入
这就说明 U 盘里之前的文件其实都还在,只是被暂时隐藏了!
在文件管理器里勾选上“隐藏的项目”
果然,之前 U 盘里的文件妥妥的都在这呢。
病毒分析
用 MD5 效验工具进行检测,发现之前在文件夹里的四个 exe 文件的 MD5 值是完全相同的,这就说明它们其实是同一个病毒。抓取其中的一个,上传到腾讯哈勃分析系统分析,从分析结果中得知其主要行为有这些:
- 创建开机启动
- 劫持windows文件管理器
- 替换QQ重要组件
- 在桌面创建一大堆的网址快捷方式
有了分析报告,就大概地知道这个病毒有什么操作了。
按耐不住好奇之心,我又在隔离沙箱里运行了这个病毒,把它释放的一些文件都收集了出来。
其中释放的快捷方式里的网址已经无法打开。直接百度这个网址,相关的提问都是几年前的,说明这个病毒真的是有一定的历史了……
既然网址都打不开了,这个病毒也失去了它应有的作用。那就玩到这里打止吧。
附件
病毒样本(解压密码 123)
病毒主文件哈勃分析报告
https://habo.qq.com/file/showdetail?md5=c0a5cf24d2a461fbbef12271cf7a57ed
病毒释放的 TaskTray.dll 哈勃分析报告
https://habo.qq.com/file/showdetail?md5=25544c18a0ffaf5af296250e7d1292f4
来源:https://mkblog.cn/718/
