“马吉斯(Worm.Magistr)”病毒专杀工具
- 当前版本:1.0
- 软件类别:免费
- 文件大小:320KB
- 发布时间:2007-06-12
软件说明
病毒名称: Worm.Magistr.g
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。
病毒源文件为boot.exe,由用户从U盘上提取。
病毒源文件流程:
boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。
检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。
装载该dll,然后查找病毒调用序号为101的导出函数。
DLL流程:
DLL被装载时:
1、获得系统sfc.dll中的SfcIsFileProtected函数地址,以便在感染时调用以防止感染受系统保护的文件。
2、获取系统的linkinfo.dll(%system32%目录下)的下列导出函数,使自己导出的同名函数指向正常的linkinfo.dll中正确的函数,以便转接这些函数。
ResolveLinkInfoW
ResolveLinkInfoA
IsValidLinkInfo
GetLinkInfoData
GetCanonicalPathInfoW
GetCanonicalPathInfoA
DisconnectLinkInfo
DestroyLinkInfo
CreateLinkInfoW
CreateLinkInfoA
CompareLinkInfoVolumes
CompareLinkInfoReferents
3、检查自己是否在explorer.exe进程中,如不是则启动病毒主线程。
4、启动病毒主线程
病毒首先通过VMWare后门指令检查是否是在VMWare下运行,如果是直接重启机器,以此来防止自己在虚拟机中被运行。
生成名称为"PNP#DMUTEX#1#DL5"的互斥量,以保证只有一个实例在运行。
然后开始启动各工作线程
5、工作线程1(生成窗口和消息循环)
生成隐藏的窗口和消息循环,并通过调用RegisterDeviceNotificationA注册设备通知消息,当发现插入可移动磁盘时,向可移动磁盘写入病毒源boot.exe。
6、工作线程2(遍历并感染所有磁盘)
从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。
病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,并通过调用SfcIsFileProtected来检查是否为系统文件,如是则不感染。
同时,病毒不感染以下程序:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
大话西游.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
7、工作线程3(禁止其它病毒、破坏卡卡助手和感染网络)
枚举进程,如果进程的程序文件名(包括目录)是如下程序(常见的病毒程序),将终止该进程
realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run1132.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce32.exe
rundl132.exe
svhost32.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv32.exe
spo0lsv.exe
wdfmgr32.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv32.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe
病毒通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该驱动在加载时失败。
枚举网络资源,并尝试对网络资源中的文件进行感染。
枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名,并使用下列密码尝试。
password1
monkey
password
abc123
qwerty
letmein
root
mypass123
owner
test123
love
admin123
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456789
12345
admin
8、工作线程4(修改host文件并下载)
备份host文件为host.txt,并下载文件代替。
查找系统html文件的关联程序,启动并注入dll以便穿过防火墙的拦截。
尝试连接以下地址并下载文件
http://top.cn372*****rg/c.asp
http://top.cn37****rg/top.dat
9、工作线程5(监视并禁止其它病毒)
通过调用驱动获得新生成的进程,如果进程的文件是指定程序(见工作线程3),终止该进程
驱动:
该驱动加载后首先通过替换 SDT 的中的函数地址挂钩
ZwSaveKey
ZwQueryDirectoryFile
ZwClose
ZwEnumerateKey
ZwLoadDriver
...
等 API 来保护病毒的注册表键值不被发现和修改,并隐藏病毒文件(boot.exe, linkinfo.dll, nvmini.sys等),
以及禁止一些安全软件的驱动加载。
然后,驱动创建一个名为 DL5CProc 的设备。用户进程可以通过 ioctl = 25270860 来获得最后一个创建进程的进程 ID。
这个进程 ID 是通过调用 PsSetCreateProcessNotifyRoutine 得到的通知获得。
该驱动还会通过 PsSetLoadImageNotifyRoutine 设置映像加载通知,如果加载的映像文件在以下子目录中:
COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32
并且名为:
DLLWM.DLL
WININFO.RXK
RICHDLL.DLL
WINDHCP.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND11.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
UPXDHND.DLL
该驱动会通过修改物理内存修改模块入口是这些模块返回失败,无法成功加载。这些动态库多是一些盗密码的
病毒以及Worm.Viking的动态库,所以被 Magister 感染的系统不会再感染这些病毒。
被感染的文件:
病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfo.dll和%SystemRoot%\system32\drivers\IsDrv118.sys并加载,然后调用linkinfo.dll的序号为101的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件。
卡卡上网安全助手4.0(含3448专杀工具)
- 当前版本:4.0.0.8
- 软件类别:免费
- 文件大小:1.38M
- 发布时间:2007年10月11日
卡卡上网安全助手4.0(含7939专杀工具)
- 当前版本:4.0.0.8
- 软件类别:免费
- 文件大小:1.38M
- 发布时间:2007年10月11日
卡卡上网安全助手4.0(含My123专杀工具)
- 当前版本:4.0.0.11
- 软件类别:免费
- 文件大小:1.39M
- 发布时间:2007年10月11日
软件说明
流氓软件现象描述:
1,浏览器首页被修改为“w**.3448.com”,无法修改。
2,病毒通过API HOOK自我保护。
3,可修改注册表,感染QQ文件导入表。
4,搜索进程名或者窗口文字包含特殊字符串的进程,发现后关闭计算机。
解决方案:
1,安装瑞星卡卡4.0
2,点击“立即升级”按钮,升级到最新版本,重新启动计算机。
3,点击瑞星卡卡4.0界面上的“瑞星免费专杀工具”,下载“流氓软件3448”专杀工具进行查杀。
| 安全防护平台 | 系统优化加速 | |
| 全面整合系统关键位置保护、U盘病毒免疫IE 防漏墙、恶意网站拦截等防护功能。 | 清理系统垃圾文件,节省磁盘空间,提高系统运行速度及执行效率。 | |
| 网络求助通道 | 高级用户平台 | |
| 通过软件发布求助,随时管理求助问题,从而快速获得高手帮助。 | 整合诸多高级功能,方便高级用户操作使用,同时规避初级用户的使用风险。 |
Worm.Nimaya (熊猫烧香)专用清除工具
- 当前版本:1.10
- 软件类别:免费
- 文件大小:332KB
- 发布时间:2006-11-14
软件说明
“尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。
专杀工具仅针对被感染机器上的活体病毒,建议在登陆系统后尽快使用专杀工具扫描,清理网页文件中包含木马病毒的信息。杀毒后建议使用最新版本的瑞星杀毒软件进行全盘扫描。
橙色八月专用提取清除工具
- 当前版本:1.7.0.2
- 软件类别:免费
- 文件大小:426KB
- 发布时间:2006-09-15
软件说明
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况,个别严重的病毒会针对杀毒软件进行恶意破坏,出现如下图的情况:
为解决病毒以及恶意程序造成的问题,瑞星专门针对此类病毒推出“橙色八月专用提取清除工具”。该工具可清除“QQ通行证(Trojan.PSW.QQPass)”、“传奇终结者(Trojan.PSW.Lmir)”、“密西木马(Trojan.psw.misc)”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
使用方法
建议您重新启动计算机,按住F8键,选择“安全模式”,进入系统后请使用此工具杀毒。
运行此工具清除病毒后,可打开瑞星杀毒软件,进行智能升级到最新版本后进行全盘查杀以巩固杀毒效果。
附:病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸
瑞星听诊器
- 当前版本:4.4
- 软件类别:免费
- 文件大小:244KB
- 发布时间:2006-06-27
“威金(Worm.Viking)”病毒专杀工具
- 当前版本:1.6
- 软件类别:免费
- 文件大小:336 KB
- 发布时间:2006-06-06
软件说明
专门针对流行病毒Worm.Viking的专杀工具。
专杀工具只能查杀独立的文件,不能查杀复合文档中的病毒,比如邮箱或者压缩文件,若需要全方位的对您的计算机进行杀毒或者防护,建议您购买并安装具备立体防毒功能的瑞星杀毒软件单机版或瑞星杀毒软件下载版,企业局域网用户请选用具备全网杀毒,管理方便的瑞星杀毒软件网络版产品。
病毒说明:
该病毒是一个感染可执行文件的蠕虫病毒
“灰鸽子”专用检测清除工具
- 当前版本:1.0
- 软件类别:免费
- 文件大小:121KB
- 发布时间:2006-02-21
软件说明 重点提示:请在怀疑中了“灰鸽子”病毒的计算机上进行检测,以提高准确率。
检测
可以对流行的多种 “灰鸽子”病毒进行检测和清除。
提取
该工具能将检测出的“灰鸽子”病毒文件提取出来,存放在工具所在目录的VirusUp子目录中。
在某些情况下针对“灰鸽子”病毒的某些版本,使用本检测工具将无法检测到病毒,在确实存在明显的病毒症状的前提下,用户可在系统目录中自行查找可疑文件或联系瑞星客户服务中心寻求解决方法。
清除
当工具发现系统中的“灰鸽子”病毒,并且用户进行了清除操作后,应重新启动计算机以确保清除病毒文件。
步骤一:将GPDetect.exe(“灰鸽子”专用检测清除工具)拷贝到计算机中的某一目录中,以下以桌面为例子。
步骤二:运行该程序显示如下界面:
步骤三:点击扫描按钮,您将看到整个扫描过程的进度
步骤四:扫描完成后,如果没有发现“灰鸽子”病毒,则提示如下,您可以按确定,然后点击主程序界面的退出按钮结束检测。
步骤五:如果扫描到“灰鸽子”病毒,提示如图:
点击是(Y)按钮,如果提取病毒样本成功,提示如下图,请您把VirusUp目录压缩打包后上传给瑞星公司。
如果自动提取病毒样本失败, 提示如图:
说明计算机中存在“模块覆盖型”的灰鸽子病毒,您可以作如下处理:
(1)启动计算机进入安全模式,设置‘文件夹选项’显示所有文件(包括隐藏文件和受操作系统保护的文件),查找系统目录(如\%windows\或者\%windows\%system32)下是否存在可疑文件,如有请压缩后上传给瑞星公司。
(2)如果无法找出可疑文件,请联系瑞星客户服务中心进一步寻求技术支持。
步骤六:每当检测到一个“灰鸽子”病毒时,会提示用户是否清除或删除,请选择是(Y),扫描完成后请重新启动计算机。
特别提示:当检测到系统中存在“灰鸽子”,并且用户选择了清除操作,请务必重新启动计算机以确保清除病毒。
“Zotob蠕虫(Worm.Zotob)”病毒专杀工具
- 当前版本:1.0
- 软件类别:免费
- 文件大小:324 KB
- 发布时间:2005-08-17
软件说明
该专杀工具是专门处理Worm.Zotob病毒及其变种的。现可查杀:
Worm.Zotob,Worm.Zotob.b,Worm.Zotob.c,Worm.Zotob.d,Worm.Zotob.e,
Worm.Zotob.f 等病毒。
TAG:
评分(
