crossfire无法找到入口(crossfireexe应用程序错误),本文通过数据整理汇集了crossfire无法找到入口(crossfireexe应用程序错误)相关信息,下面一起看看。
0x01样本信息:大小:779776字节文件版本:1.0.0.0修改时间:2016年2月4日18:14:30 MD5:0173975 b 7984285 e 9 b 6 c 31 cc 85 b 5072 fsha
0x01样本信息:
大小:779776字节
文件:1.0.0.0
修改时间:2016年2月4日18:14:30
MD5:0173975 b 7984285 e 9 b 6 c 31 cc 85b 5072 f
SHA1:7e 501816 DC 1c 9 b 281 ab 6 C4 ddf adce 14 e 73 BC 504 e
CRC32: 9896B2FF
0x02感染后的主要特征:
对比任务管理器,发现所有用户进程都是新创建的XXX增强版。exe。
过了一会儿,任务经理被杀。日。
现在所有的病毒都会找到杀死任务管理器的方法。这是人之常情。
将自己释放到进程所在的目录中,并将其重命名为XXX enhanced.exe。
先来简单分析一下。检查下部外壳,SE2.3.2的外壳
OD跑了证明就是这个壳。
我不想在一瞬间做到。脱壳时间比运行时间慢。算了,积极运行分析。
0x03病毒的主要操作:
1.枚举当前进程并获取非系统级进程名,根据进程名创建文件【XXX增强版】到对应目录。
2.注册表添加
HKEY _当前_用户\\ \ \软件\ \微软\\GDIPlus
[font cache path]=[% user profile % \ \本地设置\ \应用程序数据]
HKEY _当前_用户\\ \ \软件\ \微软\ \ Windows \ \当前版本\ \运行
[% program files % \ \ k safe]=[% program files % \ \ k safe \ \ k safety enhanced.exe]
[% system %]=[% system % \ \ spoolsv enhanced.exe]
[% program files % \\腾讯\\地下城与勇士]=[% program files % \ \腾讯\ \地下城与勇士\ \ dnf Enhanced.exe]
[%program files% \ \腾讯\ \ QQ]=[%program files% \ \腾讯\ \ QQ \ \ QQ enhanced.exe]
[%program files% \ \腾讯\ \交火]=[%program files% \ \腾讯\ \交火\ \交火enhanced.exe]
其中运行被引导和自启动。
3.尝试调用taskkill结束软杀过程【具体:360tray.exe,KSafeTray.exe】【PS:作者,你是NC吗?30自保,你开玩笑,以taskkill结束。】
4.将自己复制到另一个目录(如果该目录存在)
% program files% \ \ \ \ \ \托盘enhanced.exe
% Program Files % \ \ 360 safe \ \ Zhu dongfangyu enhanced.exe
%ProgramFiles%\\LOL王者辅助增强版Edition.exe
%程序文件% \ \腾讯\ \交火\ \交火enhanced.exe
%程序文件% \ \腾讯\ \ QQ \ \ QQ enhanced.exe
% ProgramFiles % \\腾讯\ \地下城与勇士\ \ dnf Enhanced.exe
%程序文件% \ \安全\ \ k安全托盘enhanced.exe
% system % \ \ alg enhanced.exe
% system % \ \ conime enhanced.exe
% system % \ \ CTF mon enhanced.exe
% system % \ \ lsass enhanced.exe
% system % \ \服务enhanced.exe
% system % \ \ smss enhanced.exe
% system % \ \ spoolsv enhanced.exe
% system % \ \ svchost enhanced.exe
5.去调试【检测过程关键词:OllyDbg.exe】
6.覆盖原始的gdipfontchev1.dat [C: \ \文档和设置\ \管理员\ \本地设置\ \应用程序数据\ \ gdipfontchev1.dat]
7.列举目前流行的游戏流程。如果找到,就会结束,并提示:您不小心打开了XXX【XXX是游戏名称】,现在已经为您关闭。
0x04解决方案:
1.由于该病毒的特点是运行后为当前进程创建XXX增强version.exe,所以可以考虑用关键字“增强版”批量结束进程。最好结束几次,防止再次运行。
2.病毒[或恶作剧软件]没有防冰刃、XueTr等驱动级进程管理器,我们可以用它们强制结束,删除XXX增强version.exe。
0x05摘要:
该病毒作者利用部分玩家想用辅助【外挂】软件玩简单游戏的心理,成功感染了大量玩家电脑,不过幸好这个病毒【恶作剧软件】没有在网络上操作,否则就是僵尸集群,后果不堪设想。近年来,很少看到对其流程的相互监督。
作者:Sp4ce,转载自https://bbs.ichunqiu.com/forum.php? mod=viewthreadtid=8050 ctid=127
更多crossfire无法找到入口(crossfireexe应用程序错误)相关信息请关注本站,本文仅仅做为展示!