Colección de citas famosas - Colección de máximas - ¿Qué hace exactamente el programa malicioso falso linkinfo para eliminarlo por completo?

¿Qué hace exactamente el programa malicioso falso linkinfo para eliminarlo por completo?

Ofrecemos 3 soluciones, ¡te deseamos mucha suerte! (Los detalles sobre los virus se darán más adelante)

Método 1:

Actualice el micropunto, reinicie y use micropoint para eliminar en modo seguro. Si eso aún no funciona, pruebe el método manual a continuación.

Descargar un sistema Repaire Engineer (SRE) 2.4.12.806:/zsgj/MagistrKiller.exe

Descripción del virus:

virus linkinfo.dll-"Ma Worm Herramienta para eliminar virus .Magistr

Herramienta para eliminar virus "Worm.Magistr"

Nombre de la herramienta: herramienta para eliminar virus "Worm.Magistr)

Versión del software: 1.0

Tamaño del software: 320 KB

Plataforma de aplicación: plataforma Windows

Hora de actualización: 2007-06-12

Hora de lanzamiento: 2007 -06-12

Empresa editorial: Beijing Rising Technology Co., Ltd.

Descarga gratuita: descarga local (he incluido la dirección de descarga arriba)

Descripción del software

Nombre del virus: Worm.Magistr.g

El virus es un virus infeccioso escrito en lenguaje C. Infecta un programa ejecutable PE de 32 bits con el nombre de sufijo EXE. y el tamaño de la fuente del virus es 40 KB.

El archivo fuente del virus es boot.exe, que el usuario extrae del disco U.

Proceso del archivo fuente del virus:

Después de ejecutar boot.exe, verifique si está en el directorio raíz de la unidad. Si no, salga.

Compruebe si "C:\WINNT\linkinfo.dll" existe y cree el archivo si no existe.

Compruebe si el archivo del controlador existe. Si no existe, genere el archivo del controlador SystemRoot\system32\drivers\IsDrv118.sys (elimine después de cargarlo) y llame a ZwSetSystemInformation para cargar el controlador.

Cargue el dll y luego busque la función exportada con el número de serie 101 llamada por el virus.

Proceso de la DLL:

Cuando se carga la DLL:

1 Obtenga la dirección de la función SfcIsFileProtected en el sfc.dll del sistema para poder llamarla durante. Infección para prevenir la infección de archivos protegidos por el sistema.

2. Obtenga las siguientes funciones exportadas del linkinfo.dll del sistema (en el directorio system32) y haga que las funciones exportadas del mismo nombre apunten a las funciones correctas en el linkinfo.dll normal para que estas. Las funciones se pueden transferir.

ResolveLinkInfoW

ResolveLinkInfoA

IsValidLinkInfo

GetLinkInfoData

GetCanonicalPathInfoW

GetCanonicalPathInfoA

p>

p>

DisconnectLinkInfo

DestroyLinkInfo

CreateLinkInfoW

CreateLinkInfoA

CompareLinkInfoVolumes

CompareLinkInfoReferents

3. Compruebe si está en el proceso explorer.exe. Si no, inicie el hilo principal del virus.

4. Inicie el hilo principal del virus

El virus primero verifica si se está ejecutando en VMWare a través del comando de puerta trasera de VMWare. Si es así, reinicia directamente la máquina para evitarlo. de ser detectado en la ejecución de la máquina virtual.

Genere un mutex llamado "PNP#DMUTEX#1#DL5" para garantizar que solo se esté ejecutando una instancia.

Luego inicie cada hilo de trabajo

5. Hilo de trabajo 1 (generar ventana y bucle de mensajes)

Generar una ventana oculta y un bucle de mensajes, y llamar a los registros RegisterDeviceNotificationA. Mensajes de notificación del dispositivo. Cuando se encuentra un disco extraíble insertado, el origen del virus boot.exe se escribe en el disco extraíble.

6. Hilo de trabajo 2 (recorrer e infectar todos los discos)

Infectar archivos con el sufijo "exe" en todos los discos comenzando desde "C:\".

Cuando el virus está infectado, no infecta los archivos de programa en los directorios "QQ", "winnt" y "windows", y verifica si es un archivo del sistema llamando a SfcIsFileProtected. no está infectado.

Al mismo tiempo, el virus no infecta los siguientes programas:

wooolcfg.exe

woool.exe

ztconfig. exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2. exe

Viaje hacia el oeste.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain .exe

meteor.exe

patcher.exe

mjonline.exe

config.exe

zuonline .exe

userpic.exe

main.exe

dk2.exe

autoupdate.exe

dbfsupdate .exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb -service.exe

p>

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts .exe

gc.exe

zfs.exe

neuz.exe

maplestory.exe

nsstarter .exe

nmcosrv.exe

ca.exe

nmservice.exe

kartrider.exe

audition .exe

zhengtu.exe

7. Hilo de trabajo 3 (prohibir otros virus, destruir Kaka Assistant e infectar la red)

Enumere los procesos, si el proceso El nombre del archivo del programa (incluido el directorio) es el siguiente programa (programa de virus común), que finalizará el proceso

realschd.exe

cmdbcs.exe

wsvbs .exe

msdccrt.exe

run1132.exe

sysload3.exe

tempicon.exe

sysbmw .exe

rpcs.exe

msvce32.exe

rundl132.exe

svhost32.exe

smss .exe

lsass.exe

internat.exe

explorer.exe

ctmontv.exe

iexplore .exe

ncscv32.exe

spo0lsv.exe

wdfmgr32.exe

upxdnd.exe

ssopure .exe

i

expl0re.exe

c0nime.exe

svch0st.exe

nvscv32.exe

spoclsv.exe

fuckjacks.exe

logo_1.exe

logo1_.exe

lying.exe

sxs.exe

El virus modifica la entrada "system32\drivers\RsBoot.sys" del controlador Kaka Assistant, lo que provoca que el controlador no se cargue.

Enumere los recursos de la red e intente infectar archivos en los recursos de la red.

Enumere e intente escribir el archivo fuente del virus llamado "setup.exe" en las carpetas compartidas ocultas "s\\IPC$", "C$", etc. en la computadora en la LAN. "Administrador" como nombre de usuario cuando intente conectarse e intente utilizar la siguiente contraseña.

contraseña1

mono

contraseña

abc123

qwerty

letmein

p>

déjame entrar

p>

root

mypass123

propietario

test123

Me encanta

admin123

qwer

!@#$^amp;*()

!@#$^amp;*(

!@#$^amp ;*

!@#$^amp

!@#$^

!@ #$

asdfgh

asdf

!@#$

654321

123456789

12345

admin

admin

p>

8. Hilo de trabajo 4 (modificar archivo host y descargar)

Haga una copia de seguridad del archivo host como host.txt y descargue el archivo en su lugar.

Busque la asociación del archivo html del sistema, inicie e inyecte dll para pasar la interceptación del firewall.

Intente. para conectarse a la siguiente dirección y descargar el archivo

372*****rg/c.asp

37****rg/top.dat

9. Hilo de trabajo 5 (monitorear y prohibir otros virus)

Obtenga el proceso recién generado llamando al controlador. Si el proceso El archivo es el programa especificado (consulte el hilo de trabajo 3), finalice el proceso.

Controlador:

Después de la carga, el controlador primero se engancha reemplazando la dirección de la función en SDT

ZwSaveKey

ZwQueryDirectoryFile

ZwClose

ZwEnumerateKey

ZwLoadDriver

...

Espere a que las API protejan las claves de registro del virus para que no sean descubiertas y modificar y ocultar archivos de virus (boot.exe, linkinfo.dll, nvmini.sys, etc.)

y prohibir la carga de algunos controladores de software de seguridad

Luego, se crea el controlador. un dispositivo llamado DL5CProc. El proceso de usuario puede obtener el ID del último proceso creado a través de ioctl = 25270860.

Este ID de proceso se obtiene llamando a PsSetCreateProcessNotifyRoutine.

El controlador también configurará la notificación de carga de imágenes a través de PsSetLoadImageNotifyRoutine, si el archivo de imagen cargado se encuentra en los siguientes subdirectorios:

COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32

Y llamado:

DLLWM.DLL

WININFO.RXK

RICHDLL.DLL

WINDHCP.DLL

DLLHOSTS.DLL

NOTEPAD.DLL

RPCS.DLL

RDIHOST.DLL

RDFHOST.DLL

RDSHOST.DLL

LGSYM.DLL

RUND11.DLL

MDDDSCCRT.DLL

WSVBS.DLL

CMDBCS.DLL

UPXDHND.DLL

Este controlador modificará la entrada del módulo modificando la memoria física, por lo que estos módulos devuelven un error y no se pueden cargar correctamente. Estas bibliotecas dinámicas son en su mayoría virus que roban contraseñas y bibliotecas dinámicas Worm.Viking, por lo que el sistema infectado por Magister no volverá a infectarse con estos virus.

Archivos infectados:

Cuando un virus infecta un archivo, aumentará la última sección del archivo original, escribirá el código del virus en la sección de código del archivo infectado y lo modificará. el punto de entrada para apuntar al código del virus y guardar la dirección del punto de entrada original, y luego comprimir y guardar el código sobrescrito del archivo original, el virus dll y los archivos sys en el lugar ampliado en la última sección del archivo. Cuando se ejecuta el archivo infectado, primero se ejecuta el código del virus, se liberan y cargan C:\WINNT\linkinfo.dll y SystemRoot\system32\drivers\IsDrv118.sys, y luego se ejecuta la función con el número de serie 101 de linkinfo.dll. llamado. El código del virus eventualmente restaurará el código sobrescrito del archivo original y volverá a la entrada del archivo original para comenzar a ejecutar el archivo original.

¡Buena suerte!

上篇: ¿Qué tipo de expresión idiomática es? 下篇: Observando las características paisajísticas de los jardines de Shanghai, Suzhou y Hangzhou desde la perspectiva del diseño del paisaje.