五千年(敝帚自珍)

主题:【原创】与狼共舞,3721 病毒实战 -- landkid

共:💬32 🌺8
全看分页树展 · 主题 跟帖
家园 呵呵,老High 兄肯定是遇见了低级版本的 3721

再说说我的经历,看看新版的 3721 都有什么高招。

首先 3721 在进程列表里是不显示的。它的核心文件叫做 cnswin.dll,你在进程中是找不到的。所以

无法关闭。它是个驱动,并非系统进程。

----------------------------------

单纯删除注册表中的启动项阻止它?呵呵,这个对 3721 太小儿科了。它早已练就了铜皮铁骨。见下文

----------------------------------

它是以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载

配合挂接hook的方式,在windows下极难查杀。

---------------------------------------------------------------------

当我采用手工的方式删除文件的时候,对system32/drivers目录下的CnsMinKP.sys,

WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll 都“无法删除”。

因为文件正在使用。这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载

它行不行?我尝试了一下, Windows xp的安全方式下都是要加载system32/drivers下的驱动,

而如果想要取消加载,则需要修改注册表。但由于CnsMinKP.sys 已经被加载,之后修改注册表

相关值无效,即使删除了启动项中的选项,它会自己修正回来。(你知道为啥电脑变慢了吧。

它在背后忙着不断的循环检测注册表中的相关值)下次启动一样还是按照 3721 的路子走。

---------------------------------------------------

我的实际经历是,用卸载软件立刻搜索出 3721 在启动组里的注册表值,各类文件,

包括 RunOnce 的值。 一概删除之,但我立刻重新启动 Windows 的 安全模式,

指望能避开 3721 的启动(我根本没指望普通模式能避的开。)但是仍然不行,

注册表被改回,照老样子仍然启动了 3721 , 3721 这个目录和其中的文件

依然正在使用中,不可删除。

-----------------------------------------------------------

所以可以肯定的是,结合专门删除软件 和 安全模式,一样 无法遏制已经加载了的

CnsMinKP.sys 这个程序的再次加载。单纯的 Windows 路子,目前没有办法可以

遏止 3721 加载的,这是我见到最完美的强行驻留方式。也是我见到编制最完美的病毒。

它已经达到了 Windows 下完美的癞皮方式,以至于几乎毫无办法,只能进入 DOS

才算解决了问题。但试问,周围人谁能没事玩玩 DOS 呢。对于一般人来说,3721 实在是

个至善至美,永生不死的病毒。。。。。

--------------------

对付它的好办法当然是以防为主,要防住它,还是相对容易的多的。

本文主要探讨的是如果已经中招的情况下,如何才能把它踢出去。

---------------------

不过结论是 "真 TNND 的麻烦。。。。"

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河