6/6毒霸變灰的染毒實例及完整解決方案病毒防范-電腦資料

利用AdobeFlashPlayer漏洞傳播的高危木馬實測

最近AdobeFlashPlayer漏洞引起安全廠商的高度關(guān)注，因為Adobe的產(chǎn)品缺少象微軟那樣的補丁管理系統(tǒng)，該漏洞的影響可能會持續(xù)較長時間，毒霸變灰的染毒實例及完整解決方案病毒防范

。已經(jīng)發(fā)現(xiàn)很多木馬下載者利用該漏洞傳播，并且部分利用AdobeFlasyPlay漏洞傳播的木馬下載器完成任務(wù)后會刪除自身，增加了捕獲樣本的難度。

本文實際染毒測試的樣本就是這類下載者的代表，該樣本會破壞殺毒軟件，中毒后的修復過程相當麻煩，希望通過本文給網(wǎng)友恢復系統(tǒng)以新的思路。

解決該問題的要點：

1.下載磁碟機專殺，殺掉已知病毒。

下載地址：/attachment.php?aid=16114147

2.修復毒霸的uplive.exe

3.升級毒霸和清理專家

4.重啟系統(tǒng)到安全模式，運行毒霸和清理專家，完成病毒和惡意軟件清除。

本例中，運行樣本后有uplive.exe，kissvc.exe，kpfwsvc.exe損壞，需要從其它正常電腦安裝的毒霸中恢復，為方便大家修復，這里提供了打包文件下載。

fixduba.zip(548.17KB)

fixduba.zip(548.17KB)

下載次數(shù):3

2022-6-317:05

樣本文件名：orz.exe

MD5：5fbabcd8b6c7d42ba38a858582fda63e

以下是完整的手工解決辦法，供喜歡手動解決問題的網(wǎng)友參考。

染毒環(huán)境：

WinXPSP3中文版虛擬機

金山毒霸2022官方下載版，病毒庫日期2022.5.12

1.png(94.61KB)

2022-6-316:59

步驟：

1.運行染毒ORZ.EXE，執(zhí)行后，ORZ.EXE自動刪除。

2.毒霸防火墻立即由紅變藍

2.png(23.26KB)

2022-6-316:59

觀察毒霸文件夾，發(fā)現(xiàn)幾個重要EXE被1KB大小的同名隱藏文件替換

3.png(5.52KB)

2022-6-316:59

嘗試手動刪除，失敗，顯然文件被使用中。

系統(tǒng)也變得很慢，CPU占用100%，只好強制重啟。

4.png(23.74KB)

2022-6-316:59

3.重啟發(fā)現(xiàn)毒霸實時監(jiān)控變灰色，顯然服務(wù)被刪除。

5.png(31.15KB)

2022-6-316:59

網(wǎng)鏢啟動也報錯

6.png(9.82KB)

2022-6-316:59

4.下載磁碟機專殺，重命名后雙擊執(zhí)行，發(fā)現(xiàn)多個惡意軟件

7.png(50.54KB)

2022-6-316:59

專殺工具釋放的迷你毒霸掃描到若干木馬

8.png(28KB)

2022-6-316:59

5.訪問安裝百度安全中心，因為中毒后kasmain.exe被病毒破壞，想試試百度安全中心的web版清理專家的效果，沒有用在線殺毒

9.png(55.11KB)

2022-6-316:59

修復瀏覽器相關(guān)項，全部選中，再禁用選中項。

10.png(18.62KB)

2022-6-316:59

修復異常的啟動項，部分加載項無法被選中是指當前狀態(tài)下無法修復，暫且不管，能做多少算多少，電腦資料《毒霸變灰的染毒實例及完整解決方案病毒防范》(https://.)。

11.png(19.95KB)

2022-6-316:59

清理惡意軟件和插件，因磁碟機專殺已經(jīng)清除部分惡意軟件，現(xiàn)在顯示的是其它未清除的惡意軟件。

12.png(16.71KB)

2022-6-316:59

清除選中項后，重新掃描，發(fā)現(xiàn)未能成功清除。這也是正常的，帶毒環(huán)境下清除是有可能失敗的。

13.png(17.85KB)

2022-6-316:59

6.磁碟機專殺工具已經(jīng)完成全盤掃描，建議重啟

14.png(53.79KB)

2022-6-316:59

7.重啟后，從其它計算機將uplive.exe復制到已中毒機器的毒霸目錄，以恢復毒霸的升級功能，進而通過升級恢復被破壞的毒霸程序文件。

注意：運行uplive前，先將update文件夾刪除，這一步很重要，因發(fā)現(xiàn)這個病毒還會破壞update文件夾中以前下載的幾個程序文件，直接升級會導致出錯。

在升級完成，建議重啟時，點否，我們可以立即使用最新版本的清理專家來嘗試一下。

8.清理專家檢測的結(jié)果

15.png(60.49KB)

2022-6-316:59

首次完成清除后，再刷新發(fā)現(xiàn)仍然報告，說明仍有病毒程序在運行，此時不必按程序要求重啟，先嘗試手工解決。

啟動項中發(fā)現(xiàn)延遲加載項和appinitDlls加載項

16.png(61.6KB)

2022-6-316:59

全面檢測中發(fā)現(xiàn)執(zhí)行掛鉤，選中后嘗試修復。

17.png(64.97KB)

2022-6-316:59

9.接下來，嘗試修復毒霸。

雙擊右下角灰色的毒霸監(jiān)控圖標，打開主程序，點擊“解除危險”

18.png(96.42KB)

2022-6-316:59

在確認框，點是，啟動文件實時監(jiān)控。

19.png(66.19KB)

2022-6-316:59

然后，你可以嘗試全盤殺毒，我不太喜歡全盤殺毒，在監(jiān)控未發(fā)現(xiàn)病毒時，我基本不用全盤殺毒，太花時間了。這里我選擇了重啟，把殺毒的任務(wù)交給毒霸的搶殺技術(shù)（Bootscan），只要監(jiān)控功能恢復正常，已知的病毒會在重啟時被刪除。

24.png(63.76KB)

2022-6-316:59

10.再執(zhí)行清理專家，發(fā)現(xiàn)幾個惡意軟件已經(jīng)不存在了。

11.但網(wǎng)鏢還是沒能自動啟動，提示服務(wù)加載失敗

20.png(9.96KB)

2022-6-316:59

12.開始，運行，輸入services.msc，檢查發(fā)現(xiàn)毒霸的公共服務(wù)和網(wǎng)鏢的服務(wù)均未啟動。

21.png(38.45KB)

2022-6-316:59

雙擊查看服務(wù)的屬性，發(fā)現(xiàn)文件不存在

22.png(10.25KB)

2022-6-316