带锯床厂家
免费服务热线

Free service

hotline

010-00000000
带锯床厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

千橡互联流氓感染EXE文件附修复程序

发布时间:2020-03-23 14:02:19 阅读: 来源:带锯床厂家

WQXNETQIQI(MJ0011)投递:今天论坛上一名朋友QQFucker提到中了千橡互联一个可怕的流氓软件 不同于以往的多使用插件,ROOTKIT技术的流氓软件,它竟然用的是最无耻的感染EXE方式,几近所有不大于5MB的EXE文件都会被感染,以下是原帖:

=======================分割线貌似中了l貌似卡巴是9月16号查出来的貌似感染了所有分区上大约不大于5MB的EXE文件我Google了一下:king 在 的帖子写道:援用:关于l的一些东西具体我不清楚大家是怎样感染的,我也没有卡巴来测试是不是就是此病毒.那末总结一下清除的大概方法.这个木马程序,我分析以后发现,是个流氓软件 叫 千橡互联一般中这东西也可能是软件某些捆上的.他的情况是在你的系统盘 *:Documents and Settings你的用户名Templates目录下产生一个随机目录,,,大致是37d48bc 这样我在1台感染机上发现的位置是这样的C:Documents and SettingsAdministratorTemplates37d48bc该目录下有一个EXE文件和几个DLL文件组成,EXE文件负责向系统进程注入DLL文件.你要想杀掉它,就必须结束系统的e 同时不要打开IE,然后进行删除,,该软件会在线自动更新,具体位置是 如果发现本机安装版本过时,就会自动更新新版程序,,非常的危险....to 千橡互联:感染所有EXE文件已不是甚么新技术了,你用用Rootkit技术倒是无妨,不过是清除感染,感染了再清除可你不要用这样低劣的手段伤我们的心分析=======================给我有一个被感染的文件,分析了一下 原来是直接把文件数据放到文件里,然后用自己去替换那个文件,类似加壳那样.被感染的文件一般会增加100KB左右卡巴会报l但是没法清算干净被感染的EXE技术细节=============================感染后文件OFFSET 34CH处一个dword的值标志着感染前文件被定位到哪里然后文件的末尾一个dword则记录了感染前文件的长度感染后还会到另一个网站去download一个包括了更多流氓软件的exe,有兴趣的可以继续反汇编那个delphi的SHELL这里提供一个我写的修复工具re_e下载:mj0011的网盘可到我的网盘下载用法是re_e 被感染文件 恢复的输出文件例:re_qx e cmd_e便可将被感染的e恢复为正常的cmd_e计算了一下hash,恢复后的和正常的HASH校验值是一样的可以在命令行下使用,也可以用cmd写批处理来大批量恢复 也可以在程序中调用(要注明作者哦:P)运行结果:C:Documents and Settings***桌面>re_qx e e千橡感染EXE还原 By MJ0011 th_decoder@Infected file size=378433Source file size=274493Source file local at=103936outputing file...output file: e OK==========================

上海最好的男科医院

成都妇科医院哪家最好

杭州仁树医疗门诊部热门文章