Mi computadora fue infectada con un virus. El virus creó un nuevo usuario en mi computadora y luego lo eliminé. El programa QQ también fue secuestrado y el ícono Tencent QQ.shk también fue secuestrado.
Recientemente, "Rising" y AV Terminator (nombrados por Kingsoft) son bastante populares. De hecho, es un 7 u 8. virus de caracteres de bits. Nosotros, los novatos, lo llamamos "virus aleatorio de letras y números". Parece que la gente viene a los foros antivirus en busca de ayuda todos los días debido a este virus. He jugado con este virus varias veces y siento que no es nada especial. Ahora daré una breve introducción a la tecnología de este virus y la adjuntaré. varios métodos de craqueo.
Autorun.inf
Un formato de texto que esconde un asesino, hasta el punto de que algún software antivirus lo ha añadido a la base de datos de virus. Es el culpable de la propagación de. Virus de disco U. En muchos casos, todos lo consideramos como el enemigo. Si se utiliza la función de "reproducción automática" predeterminada del sistema, la tasa de activación del virus alcanzará el 100%.
Desactivar reproducción automática: Configuración del equipo--Plantillas administrativas--Sistema--Desactivar reproducción automática--Establecer en "Activado"--Seleccionar todas las unidades--Aceptar. Seleccione todas las unidades: Aceptar. En cuanto a Autorun.inf, puede descargar la herramienta de inmunidad del disco USB.
Inserción de hilo
El nombre completo es "creación remota de hilo". Estos virus suelen ser archivos en formato Dll y pueden depender del proceso de inserción del registro System Services\EXE carrier\Rundll32.exe\. De esta manera, es imposible detectar virus Dll dentro de la máquina host, ya que no habrá anomalías en el administrador de procesos a menos que se utilicen herramientas de terceros. Esta tecnología se utiliza ampliamente en el mundo de los caballos de Troya y tiene cierto grado de ocultación. Los virus de caracteres de 8 bits utilizan esta tecnología para evitar que sean descubiertos directamente en el proceso, lo que dificulta su detección y eliminación.
Se recomienda descargar una herramienta de terceros que pueda ver los módulos de proceso. Detecta principalmente el módulo de proceso del administrador de recursos. Este proceso es a menudo donde se reúnen los troyanos, por lo que debes prestarle especial atención. Es mejor mirar los registros de SREng para que sea más fácil de identificar.
Además, la versión mejorada de IceBlade no puede eliminar el virus y el secuestro de IFEO tampoco es válido.
Secuestro de redirección IFEO
La tecnología recientemente abusada puede ser rastreada por la famosa herramienta de seguridad Autoruns (la nueva versión de SREng también tiene función de detección IFEO), he escrito una defensa para esto método. Desafortunadamente, nadie quiere ver que IFEO está realmente ubicado en el registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
En Opciones de ejecución de archivos de imagen (abreviado como IFEO)
Este elemento se utiliza principalmente para depurar programas (previniendo el desbordamiento) y no será utilizado por usuarios normales. De forma predeterminada, solo los administradores y el sistema local pueden leerlo, escribirlo y modificarlo. Supongamos que se crea un nuevo "Filename.exe" en este elemento con el valor clave Debugger y apunta a la ruta de otro programa (virus.exe). Luego, cuando se ejecute el programa A, se ejecutará B. Esto es un secuestro de redirección.
Abra el registro, expanda a IFEO y configure los permisos para solo lectura y no escritura. (
Hook
Esta es una tecnología similar a "escuchar", que se traduce como "gancho". Una de las variantes que encontré es usar el gancho WH_CALLWNDPROC. El gancho CALLWNDPROC es Un gancho publicado por el proceso residente de 8 bits random number.dll, que intercepta información confidencial y la modifica en la llamada del programa. Sin embargo, en lugar de modificar la información, desactiva directamente ciertas "palabras clave" de filtrado.
Simplemente elimine el virus DLL correspondiente, que normalmente se puede detectar utilizando el registro SREng.
Rootkit
Entre las variantes AV que encontré, encontré que hay un grupo de troyanos que utiliza esta tecnología (Rootkit), que consiste en traer aleatoriamente el virus en 7 bits para lograr protección de tres procesos.
Esta tecnología se usa comúnmente para esconderse en el mundo de los caballos de Troya. El más típico es Gray Pigeon (tal vez Hook). Un RK calificado puede evaporar sus propios archivos (incluidos los procesos). Lo más común es modificar la API del proceso de enumeración para que los datos devueltos por la API siempre "pierdan" (el virus) su propia información del proceso, por lo que, por supuesto, no se pueden encontrar en el proceso. También existe una técnica de ocultación similar, que consiste en eliminar su propia información de la "tabla de información del proceso". Esto también se puede utilizar con fines de ocultación, pero debido a fallas de diseño y a la similitud de la plataforma, esto parece ser poco común. (Al menos no lo he encontrado)
Podemos lograr esto a través de algunas herramientas anti-RK. Al vivir con la tecnología RK, es posible que las herramientas anti-RK no necesariamente se protejan entre sí. Precauciones contra Todavía no. Los anti-RK más utilizados incluyen RootkitRevealer de Royton, IS, Gmer y Anti-Rootkit Free de AVG.
Caballos ARP
Este no es el punto, solo habla de ello brevemente. Es un troyano que se encuentra en un grupo de variantes de AV. Se llama mediante CMD y es un proceso residente. De hecho, es similar a un rastreador, que se actualiza una vez por segundo, escucha la red y pasa su propio código malicioso (. JS) en los paquetes de datos. Suspender una sección de paquetes y luego devolverlos al usuario que recibió el paquete modificado podría contener un virus con cada página web vista.
Si estás en la zona local, puedes utilizar una herramienta de captura de paquetes en cualquier host para comprobar si hay anomalías en los paquetes y localizarlas.
Cracking Defense
El virus de 8 dígitos en versiones anteriores utilizaba esta tecnología para capturar Rising Star Registry Monitor y CardBar Proactive Defense interceptando funciones como FindWindowExA, mouse_event, SendMessageA, etc. ventana del monitor y envíe los comandos "Permitir" y "Sí". (No se requiere ninguna operación por parte del usuario). Más tarde, el autor descubrió que esta función no es redundante después de desactivar el software antivirus. Las versiones posteriores no parecen haber añadido esta tecnología.
Esta técnica es bastante despreciable y sólo puede usarse para prevenir problemas antes de que ocurran. Además: HIPS se puede bloquear.
Autoprotección
El método de autoprotección del virus de "carácter aleatorio" es destruir el modo seguro y "mostrar archivos ocultos". bastante difícil, porque estas Las propiedades del virus están ocultas. Tampoco puede ingresar al modo seguro para buscar virus.
La reparación del modo seguro y "Mostrar archivos ocultos" se pueden reparar importando el registro correspondiente. Además, SREng tiene la función de reparar el modo seguro (SREng-System Repair-Advanced Repair (). versión mejorada), presione la tecla Ctrl para seleccionar aleatoriamente los dos últimos procesos de 7 letras (identificados por rutas). Finalice al mismo tiempo, luego elimine los archivos correspondientes y las claves de registro de inicio. También puedes configurar IceBlade para "deshabilitar la creación de hilos" y finalizarlos uno por uno.
2. Cambiar nombre
Cambie el nombre de "randomnumbers.dll" a "randomnumberslld". La respuesta es no.
3. ¿Cómo recargar el archivo Dll después de reiniciar la computadora? (1) Publicado a través del vector EXE. (2) Cargado a través de servicios del sistema. (3) Iniciado a través de Rundll. (4) Carga mediante ocultación del registro (elementos de inicio en ejecución no convencionales). Aquí random8digits.dll utiliza el cuarto método. Se conecta a HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks para comenzar.
Bueno, si bloqueo esta llave, ¿aún puedes activarla? No se necesitan herramientas para eliminar manualmente virus aleatorios desde la última vez que bloqueé esta clave. (Parece que más de 40 virus provienen de esta manera)
4. Herramienta de eliminación
No diré más sobre esto. Cuando el autor tenga la idea, sigue adelante. actualízalo. Te desprecio. Los más utilizados incluyen PowerRMV, KillBox, IS, etc. Simplemente elimine el número aleatorio.Dll y todo se resolverá. (En realidad, todavía hay muchas herramientas que no están prohibidas, así que no las mencionaré aquí :D)
5. ¿Aún puedes hacer lo mismo
IFEO? ¡Yo también lo usaré! 00
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="C:\\\\ Windows\ \\\system32\\CMD.exe"
De esta forma, el escritorio no se mostrará durante el inicio y, por supuesto, el virus no podrá insertarse en el proceso.
6. Método de apagado
Me he enfrentado a un virus (ByShell) antes, que era bastante potente y se dio cuenta de la tecnología tres: sin archivo, sin inicio, sin proceso). Más tarde, confié en este truco para ganar por poco (sudar durante medio mes). El principio de este método es evitar que el virus vuelva a escribir en la memoria cortando repentinamente la energía. Sabemos que si se eliminan virus que pertenecen al "mismo tipo", se generará nuevamente el número aleatorio .dll en el proceso. Podemos usar Autoruns como herramienta (recuerde cambiar el nombre primero), eliminar la entrada de registro de randomnumbers.dll y apagar la alimentación inmediatamente después de la eliminación.
Si tu máquina está atascada o es lenta, ¡no intentes esto!
7. Resurrección
Como se mencionó anteriormente, el número aleatorio.dll depende del "TIMPlatform.exe" (si lo hay) y del "Explorador" que se enumeraron previamente en el Explorador del host. .exe El proceso insertado después de .exe ". Más tarde, el autor se dio cuenta de que debía haber un Explorador en el proceso, por lo que en versiones posteriores, en lugar de agregar una enumeración para "TIMPlatform.exe", insertó directamente "Explorer.exe". En su lugar, inserta "Explorer.exe" directamente. Oye, aquí viene la idea de nuevo. Si matamos el proceso Explorer.exe desde el Administrador de tareas, ¿no terminará randomnumbers.dll en la calle? Jaja, mira:
Este truco requiere un poco de conocimiento de DOS y las propiedades adicionales del software antivirus para lograr el objetivo. Puede llamar a CMD directamente para forzar su eliminación. Esto funcionó en las primeras versiones, pero no sé acerca de las versiones posteriores. (No hay muestras nuevas, 5555~~~~)
8. El DOS olvidado
¡Esto se refiere a DOS puro, no a la línea de comandos! Busque un disco de instalación y configure CR como el primer elemento de inicio. Estos discos de instalación generalmente están integrados con herramientas de DOS. Después de ingresar, simplemente ejecute el comando de eliminación forzada. Adjunto está el comando:
Del random number.dll /f/s/a/q
<. p>Pero hay que ir a su directorio que es C:\Program Files\Common Files\Microsoft Corporation donde se encuentra el «viejo». \Common Files\Microsoft Shared\MSINFO\Hay un virus dat con el mismo nombre. (Borrado por cierto, jaja).
9. Volver al modo seguro
Los virus AV pueden destruir el modo seguro, haciendo imposible ingresar al modo seguro para eliminarlo. Siempre que reparemos el modo seguro y luego ingresemos al modo seguro para eliminar los archivos de virus.
Mi netbook tiene una herramienta de reparación especial (registro), en la que también se puede reparar SREng. El método es el anterior.
Mi disco de red: (¡Si no puede conseguirlo, búsquelo usted mismo en línea!)
10. Elimine el disco colgándolo.
No tiene contenido técnico y me desprecia. (Tenga cuidado al configurar los discos maestro y esclavo en el BIOS y tenga cuidado de que la máquina madre no alcance el objetivo)