0x01样本信息:大小:779776字节文件版本:1.0.0.0修改时间:2016年2月4日,18:14:30MD5:0173975B7984285E9B6C31CC85B5072FSHA
0x01样本信息:
大小: 779776 字节
文件版本: 1.0.0.0
修改时间: 2016年2月4日, 18:14:30
MD5: 0173975B7984285E9B6C31CC85B5072F
SHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E
CRC32: 9896B2FF
0x02感染后主要特征:
对比下任务管理器，发现所有用户进程全部被新建了个XXX加强版.exe

过了一小会，任务管理器被日 。。。日了 。。


好吧，现在所有病毒都会想办法干掉任务管理器，人之常情 。
释放自身到某进程存在的目录并更名为XXX加强版.exe


开始简单的分析吧，查了下壳，SE2.3.2的壳


OD跑了下证明了是这个壳


瞬间不想搞了，脱壳时间比运行下还要慢，算了，主动运行分析吧 。。
0x03病毒主要操作:
1.枚举当前进程并获取非系统级别的进程名，根据进程名创建文件【XXX加强版】到对应目录下 。
2.注册表添加
HKEY_CURRENT_USER\\\\Software\\Microsoft\\GDIPlus
[FontCachePath] = [%USERPROFILE%\\Local Settings\\Application Data]
HKEY_CURRENT_USER\\\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
[%ProgramFiles%\\ksafe] = [%ProgramFiles%\\ksafe\\ksafetray加强版.exe]
[%system%] = [%system%\\spoolsv加强版.exe]
[%ProgramFiles%\\Tencent\\地下城与勇士] = [%ProgramFiles%\\Tencent\\地下城与勇士\\dnf加强版.exe]
[%ProgramFiles%\\Tencent\\QQ] = [%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe]
【crossfireexe crossfireexe找不到入口】[%ProgramFiles%\\Tencent\\CrossFire] = [%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe]
其中Run是开机自启动的 。
3.尝试调用taskkill结束杀软进程【特指：360tray.exe、KSafeTray.exe】【PS：作者你是不是NC啊 。。。360自保护你开玩笑用taskkill结束 。。】
4.复制自身到其他目录（如果目录存在）
%ProgramFiles%\\360Safe\\360tray加强版.exe
%ProgramFiles%\\360Safe\\zhudongfangyu加强版.exe
%ProgramFiles%\\LOL王者辅助加强版.exe
%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe
%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe
%ProgramFiles%\\Tencent\\地下城与勇士\\dnf加强版.exe
%ProgramFiles%\\ksafe\\ksafetray加强版.exe
%system%\\alg加强版.exe
%system%\\conime加强版.exe
%system%\\ctfmon加强版.exe
%system%\\lsass加强版.exe
%system%\\services加强版.exe
%system%\\smss加强版.exe
%system%\\spoolsv加强版.exe
%system%\\svchost加强版.exe
5.反调试【检测进程关键字：OllyDbg.exe】
6.覆盖掉原有的GDIPFONTCACHEV1.DAT【C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\GDIPFONTCACHEV1.DAT】
7.枚举当前热门游戏进程，发现就结束，并且提示：你不小心打开了XXX【XXX为游戏名字】，现已帮你关闭
0x04解决方案：
1.由于病毒运行后的特征是对当前进程创建XXX加强版.exe，所以可以考虑用批处理批量结束带“加强版”这个关键字的进程，最好多结束几次防止其再次运行 。
2.病毒【或者说恶作剧软件】没有反冰刃、XueTr这类驱动级进程管理器，所以我们可以用他们强制结束并删除XXX加强版.exe 。

推荐阅读

• 

  辛丑条约是哪一年签订的 辛丑条约介绍
• 

  华为ags-w09参数 agsw09是华为什么型号
• 

  公积金缴存基数的意思是什么
• 

  未满16岁可以办电话卡吗
• 

  液化气罐的规格和尺寸是多少
• 

  有关军训的标题
• 

  四害指的是什么 四害是指什么
• 

  三国演义中著名的以少胜多的战役有哪些 三国演义中以少胜多的著名战役
• 

  腊月初八煮腊八粥是什么寓意 腊八粥的由来
• 

  excel怎么筛选重复项并删除 excel找出重复项的方法
• 

  Win11无线网络适配器出现感叹号怎么解决？
• 

  【吃雪糕】小男孩吃雪糕的画法简笔画怎么画步骤教程
• 

  大寒吃什么传统美食 大寒节气吃什么
• 

  重庆有几个区几个县几个镇
• 

  为什么人们喜欢喝可乐,可乐明知道喝多了不好
• 

  魅族18参数，LT18Inbsp魅族MX拍照那个强

• 微信黑名单在哪里可以找到 微信黑名单在哪里可以找到?8.018
• 电脑机箱噪音大怎么办 先找出原因
• 现在的QQ怎么发悄悄话
• iphone投屏不用Airplay iphoneairplay投屏找不到电视
• 私家车高速超速10%不到20%怎么处罚 高速公路上小汽车超速多少不被处罚
• 去什么地方可以找到地摊货源 摆地摊去哪里找货源最好
• 怎么找到外国人做问卷调查 国外问卷调查怎么做成功率高
• 我的世界-MC中最难寻找的遗迹,丛林神庙最难遇到! 我的世界沙漠神殿和丛林神庙
• 如何找回以前的米米号
• airpods丢了怎么找回