精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 14973|回复: 130

[分享] 愤怒的天使专杀工具(黑月教主)

  [复制链接]
发表于 2009-9-10 18:13 | 显示全部楼层 |阅读模式
单位的电脑被愤怒的天使(serverx.exe)干掉了
试了几款杀软没有任何办法
找到黑月教主的专杀工具才免去重装系统

分享一下

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

评分

参与人数 1金币 +5 收起 理由
muye + 5 感谢提供分享

查看全部评分

发表于 2009-9-10 20:35 | 显示全部楼层
病毒描述


该病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。 以CreateMutexA创建互斥体Angry Angel v3.0,防止多个病毒体重复运行。感染各个逻辑驱动器下的exe文件,在exe文件中增加最后一个节的大小,写入病毒,并修改该节的虚拟大小,原始大小 与节属性等。尝试访问相关网站下载其它恶意程序。


行为分析-本地行为


1、 文件运行后会衍生以下文件
%WinDir%\SVCHOST.EXE 54,474 字节
%WinDir%\SVCHOST.INI 43字节
%WinDir%\MDM.EXE 22,016 字节
%System32%\Serverx.exe 9,418字节
%DriveLetter%\ AutoRun.inf 149字节
%DriveLetter%\ RavMon.exe 54,474 字节

2、 新建注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
注册表值:"Serverx"
类型: REG_SZ
值: "C:\WINDOWS\system32\Serverx.exe
描述:添加启动项,以达到随机启动的目的

3、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:"SVCHOST"
类型: REG_SZ
值: "C:\WINDOWS\MDM.EXE"
描述:添加启动项,以达到随机启动的目的

4、修改注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden]
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见

5、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
新: 字符串: "0"
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见

6、遍历各个逻辑驱动器,感染exe文件。感染方式是将exe文件增加最后一个节的大小,写入病毒,并修改该节的虚拟大小,原始大小与节属性。同时修改映像大小与入口点。

注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;

WindowsXP中默认的安装路径是 C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案


1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com/download.htm)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/atool.htm)。


(1) 使用安天防线或ATool中的“进程管理”关闭病毒进程
%WinDir%\SVCHOST.EXE

(2) 强行删除病毒文件
%WinDir%\SVCHOST.EXE
%WinDir%\SVCHOST.INI
%WinDir%\MDM.EXE
%System32%\Serverx.exe
%DriveLetter%\ AutoRun.inf
%DriveLetter%\ RavMon.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
注册表值:" Serverx"
类型: REG_SZ
值: "C:\WINDOWS\system32\Serverx.exe

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" SVCHOST "
类型: REG_SZ
值: "C:\WINDOWS\MDM.EXE"

恢复注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden]
DWORD: 1 (0x1)

恢复注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
DWORD: 1 (0x1)

点评

sud
谢谢分享  详情 回复 发表于 2013-7-21 09:08
回复 支持 1 反对 0

使用道具 举报

发表于 2009-9-10 18:28 | 显示全部楼层
恩,收藏一下……
回复 支持 反对

使用道具 举报

发表于 2009-9-10 19:14 | 显示全部楼层
有什么症状?
回复 支持 反对

使用道具 举报

发表于 2009-9-10 19:24 | 显示全部楼层
这玩艺有用吗??
回复 支持 反对

使用道具 举报

发表于 2009-9-10 20:42 | 显示全部楼层
谢谢分享,支持下!
回复 支持 反对

使用道具 举报

发表于 2009-9-10 21:02 | 显示全部楼层
有没有病毒样本啊
回复 支持 反对

使用道具 举报

发表于 2009-9-22 11:56 | 显示全部楼层
很强悍啊
回复 支持 反对

使用道具 举报

发表于 2009-10-4 21:09 | 显示全部楼层
有病毒样本啊
回复 支持 反对

使用道具 举报

发表于 2009-12-29 23:44 | 显示全部楼层
谢谢分享,支持下
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2017-8-23 00:37 , Processed in 0.123006 second(s), 32 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表