危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982244

死亡问答病毒——sola再现江湖

最近朋友找我说啊:“危险漫步,我的电脑里中病毒了,但是下载了360杀毒一直杀不出来,能来帮我看看吗?”。于是我就出发了,去了之后首先把其文件夹选项改成显示所有的文件,然后就在C盘目录下发现了一个名叫SOLA_2.0_28545881013344,bat的文件,我一看名字就知道了,原来是这个病毒。这是一个被称为死亡问答的病毒,病毒在第一次执行的时候,会建立(%sola%\RunTime.txt)文件,并且记录执行次数。当累计执行次数达到50的时候,病毒会死锁计算机,删除系统关键文件,导致用户一旦重新启动计算机,便无法再次进入系统。随后屏幕便会出现相应的画面。

之前我见过这个病毒,网上也有关于这个病毒的清除方法,于是我告诉我的朋友说上网下载一个关于这个病毒的批处理就可解决,当时我也没看这个bat文件,就回去了。结果晚上他又来找我说,下载的杀毒都不能用,我听了觉得很奇怪,于是拿U盘拷了这个bat文件和function.dll文件回来看。

如果接触过这个病毒的人会知道,以前的这个病毒是没有hidese~l这个文件夹的。

此语句的意思在windows目录下的fonts目录下再建立一个hideself...\文件夹,为什么要建这个文件夹呢?这是因为在windows下在你建立的文件夹名字是不能有.这样的符号的,但是在cmd下却可以,并且这样生成的文件在正常情况是进不去的,会提示找不到目录,这样就可以躲过某些杀毒软件的查杀,也可以使你在手工杀毒时找不到。

这个病毒添加了开始菜单\程序\启动的计划任务启动项。

接着再来看:Diskchk这个跳转(代码省略)~总之意思就是生成一个RecentInf.VBs文件,文件内容就是运行Recentlnf.bat。

call语句是调用的意思,这就是调用了LocalScan.bat这个文件,内容大概就是病毒会检查所有的磁盘,并且在每个盘下建立sola文件夹,并放入sola.bat。

和function.dlDt件,并且还感染你所有的exe,txt以及jpg文件,此外,就是有:RunTimeChk这个跳转就是检查运行次数是否到了50,如果你打开这些文件50次后会触发病毒的:Kill跳转。

下面代码的意思就是去掉ntldr的隐藏系统只读的属性,并且直接-ntldr文件复制到sola文件夹下,并且把no ntldr写入到ntldr文件中,然后再恢复其原来属性。

echo NO NTLDR>%systemdrive%\NTLDR可以看到。NTLDR是系统文件,随便改变其内容的话导致系统进不去。

会删除你dllcache的备份的任务管理器,并且把他重命名,已经把你的桌面程序也重命名,这就会导致你开机没有桌面,只有他的那个bat文件,如果你问题回答错误的话就会导致你不能开机,即使重装了系统,别的盘也有感染的文件,也会导致你重新感染……

这是病毒的主体文件,在hidese~l的目录下还有好多别的bat文件。

其中的scan.bat就是扫描你电脑中的exe,txt,doc和jpg文件的。

然后调用infect.bat来感染,此外还有autorun.inf是自动运行的文件,以及Regedit.reg是为了关闭自动播放的显示服务。以及病毒衍生的vbs脚本文件,此外还有rar.exe和sleep.exe是作者为了实现某些功能而写的程序,由于不在本文讨论范围,就不在提了。本来这些文件在执行都会删除的,因为我在虚拟机里测试,把他们保留下来,是为了让大家看的更清楚,更了解这个病毒的原理。

清除的方法

好的,既然病毒分析完了,那么我们就来自己想如何杀毒吧,首先清除各个盘下的sola.bat和function.dll文件,然后删除开始菜单\程序\启动的sola.vbs保证开机不会运行病毒,其次打开开始——运行——输入gpedit.msc,找到里面的系统,然后再右边找到关闭自动播放,把自动播放功能关掉。然后就是删除病毒的主体文件了,因为其在hidese~l的文件夹下,所以我们还是在cmd下操作。打开cmd,然后输入cd\切换到C的根目录下面,然后输入cd windows\fonts\hidese~l,切到病毒的目录下,del/s/q/a * 删除所有文件,rd solasteup删除病毒目录,然后cd.. 回到上层目录,rd hidese~l删除hidese~l目录,病毒清除完成。

现在就是恢复被感染的文件了,因为其内容比较多,大家可以仔细研究。大家在分析病毒的时候,为了不必要的麻烦,一定要用虚拟机运行,因为网上现在好多朋友求助说:“危险漫步啊!杀毒时找不到rar.exe怎么办呢?”,完全可以去网上找一下资源嘛。下载并解压之后放入system32目录下就可以用了。

即使这样,我们仍然要多小心,不得不承认,这个病毒的作者对批处理的理解非常的深刻,所以,我们在反病毒的同时,也要在这过程中不断学习,增加自己的知识,文章到这里就结束了,我是危险漫步,祝大家好运!

相关推荐