请选择 进入手机版 | 继续访问电脑版

简单判断一个程序是否感染了蠕虫病毒,以及处理方法

[复制链接]
查看396 | 回复6 | 2019-11-7 16:04:01 | 显示全部楼层 |阅读模式
    蠕虫病毒是一种常见的计算机病毒,他的特点是,感染能力强、传播速度快,它可以依附在正常的应用程序上面,当你的正常程序被感染后,你运行正常的程序也会启动蠕虫病毒。如果你运行了被感染的程序,那么被感染的程序会再次感染其他应用程序,你再将你被感染的程序发给别人别人会继续感染。并且感染速度极快,几分钟便可感染全盘
    目前可以感染的文件后缀包括“.EXE .DLL .HTML  .DRV ”等格式,危害极大。



    不过这种蠕虫病毒一般如果开着杀软就不会有什么问题,目前主流杀软都可以完美的修复被感染的程序。如果你一旦感染了蠕虫病毒,请尽快全盘杀毒。

    那么我们该如何分辨一个程序是否感染了蠕虫病毒呢?下面跟大家简单聊一下 如何判断一个程序是否感染了蠕虫病毒。



需要用到的工具:    ollydbg、PEID (均可百度下载到)

首先来看第一种,载入PEID。看到如下区段如果发现如下区段,那可以确定100%就是感染了蠕虫病毒。

1.jpg

点击区段后面的箭头,蠕虫区段一般在最后一个。

2.jpg

那么如果没有如上区段是不是就能确定100%没有感染蠕虫了吗?答案是否定的。 区段的名字是可以随便修改的,以上只是蠕虫的一种比较明显的。还有一种区段名字跟正常区段是一样的,或者说程序在加壳之前感染的蠕虫 我们就无法发现。这时候我们就需要用到OD了,如果程序加壳了,就需要先脱壳再进行查看。本篇文章只是让大家知道怎么判断是否感染蠕虫病毒,脱壳问题这里不讲。

首先将可疑程序载入OD,看入口记住如下的格式,便是蠕虫的一种,很多杀软就是通过这种特征来判断是否是蠕虫病毒的。
3.jpg

  我们可以看到图中内存0X0061C025有一个跳转,如果这里改成JMP 那么这个蠕虫就不会生效了,这里是他的自判断,如果你已经感染了蠕虫,那么他就不会再释放蠕虫木马文件了。如果我们给改成了JMP那他就永远也不会释放了。。当然,完美的处理方法是找到真正的入口修正入口点,并删除蠕虫区段。篇幅有限,这里只是简单说一下。
101044.jpg

  还有另外一种,也是目前比较常见的蠕虫病毒。如下图,PEID会显示为Borland Delphi 语言编写。(并不是所有显示Borland Delphi 都是蠕虫病毒。继续向下看。)

QQ截图20191108132320.jpg

这时候我们载入OD来看一下入口的信息,如果发现下图红圈中的字样,就可以确定感染了蠕虫病毒了。上面这几个CALL分别是初始化 创建隐藏文件等动作,具体不详细描述了。(这个入口和上面PEID分析的不是同一个样本。所以内存地址不同,不要纠结这个。)

1040.jpg


以上只是蠕虫的两种的判断方法,还有很多种蠕虫,如果以后碰到样本可以给大家分享一下判断方法。

目前主流杀软都可以完美的清除蠕虫病毒,并且修复被感染的文件。
希望大家可以养成定期杀毒的好习惯,不是特别必要不要关闭杀软。病毒重来不会说自己是病毒。


好了没什么说的了,提前祝大家新年快乐吧~









回复

使用道具 举报

a398591442 (UID:10021) | 2019-11-7 16:25:23 | 显示全部楼层
新年快乐
回复

使用道具 举报

1216282799 (UID:10291) | 2019-11-7 16:50:56 | 显示全部楼层
谢谢大大的分享
回复

使用道具 举报

adonis (UID:10081) | 2019-11-7 16:53:09 | 显示全部楼层
新年快乐
回复

使用道具 举报

yh162520 (UID:10295) | 2019-11-7 17:06:08 | 显示全部楼层
66666666666
回复

使用道具 举报

小k (UID:10010) | 2019-11-7 18:56:32 | 显示全部楼层
wwode 我的
回复

使用道具 举报

wowo33love (UID:10249) | 2019-11-8 08:14:47 | 显示全部楼层
新年快乐 新的一年发大财
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

老司机 (UID:1)

649

主题

714

帖子

2519

积分

管理员

威望
0
贡献
0
金钱
1765

二货勋章女仆