crossfire无法找到入口(crossfireexe应用程序错误),本文通过数据整理汇集了crossfire无法找到入口(crossfireexe应用程序错误)相关信息，下面一起看看。

　　 0x01样本信息：大小：779776字节文件版本：1.0.0.0修改时间：2016年2月4日18:14:30 MD5:0173975 b 7984285 e 9 b 6 c 31 cc 85 b 5072 fsha

　　 0x01样本信息：

　　大小：779776字节

　　文件：1.0.0.0

　　修改时间：2016年2月4日18:14:30

　　 MD5:0173975 b 7984285 e 9 b 6 c 31 cc 85b 5072 f

　　 SHA1:7e 501816 DC 1c 9 b 281 ab 6 C4 ddf adce 14 e 73 BC 504 e

　　 CRC32: 9896B2FF

　　 0x02感染后的主要特征：

　　对比任务管理器，发现所有用户进程都是新创建的XXX增强版。exe。

　　过了一会儿，任务经理被杀。日。

　　现在所有的病毒都会找到杀死任务管理器的方法。这是人之常情。

　　将自己释放到进程所在的目录中，并将其重命名为XXX enhanced.exe。

　　先来简单分析一下。检查下部外壳，SE2.3.2的外壳

　　 OD跑了证明就是这个壳。

　　我不想在一瞬间做到。脱壳时间比运行时间慢。算了，积极运行分析。

　　 0x03病毒的主要操作：

　　 1.枚举当前进程并获取非系统级进程名，根据进程名创建文件【XXX增强版】到对应目录。

　　 2.注册表添加

　　 HKEY _当前_用户\\ \ \软件\ \微软\\GDIPlus

　　 [font cache path]=[% user profile % \ \本地设置\ \应用程序数据]

　　 HKEY _当前_用户\\ \ \软件\ \微软\ \ Windows \ \当前版本\ \运行

　　 [% program files % \ \ k safe]=[% program files % \ \ k safe \ \ k safety enhanced.exe]

　　 [% system %]=[% system % \ \ spoolsv enhanced.exe]

　　 [% program files % \\腾讯\\地下城与勇士]=[% program files % \ \腾讯\ \地下城与勇士\ \ dnf Enhanced.exe]

　　 [%program files% \ \腾讯\ \ QQ]=[%program files% \ \腾讯\ \ QQ \ \ QQ enhanced.exe]

　　 [%program files% \ \腾讯\ \交火]=[%program files% \ \腾讯\ \交火\ \交火enhanced.exe]

　　其中运行被引导和自启动。

　　 3.尝试调用taskkill结束软杀过程【具体：360tray.exe，KSafeTray.exe】【PS:作者，你是NC吗？30自保，你开玩笑，以taskkill结束。】

　　 4.将自己复制到另一个目录(如果该目录存在)

　　 % program files% \ \ \ \ \ \托盘enhanced.exe

　　 % Program Files % \ \ 360 safe \ \ Zhu dongfangyu enhanced.exe

　　 %ProgramFiles%\\LOL王者辅助增强版Edition.exe

　　 %程序文件% \ \腾讯\ \交火\ \交火enhanced.exe

　　 %程序文件% \ \腾讯\ \ QQ \ \ QQ enhanced.exe

　　 % ProgramFiles % \\腾讯\ \地下城与勇士\ \ dnf Enhanced.exe

　　 %程序文件% \ \安全\ \ k安全托盘enhanced.exe

　　 % system % \ \ alg enhanced.exe

　　 % system % \ \ conime enhanced.exe

　　 % system % \ \ CTF mon enhanced.exe

　　 % system % \ \ lsass enhanced.exe

　　 % system % \ \服务enhanced.exe

　　 % system % \ \ smss enhanced.exe

　　 % system % \ \ spoolsv enhanced.exe

　　 % system % \ \ svchost enhanced.exe

　　 5.去调试【检测过程关键词：OllyDbg.exe】

　　 6.覆盖原始的gdipfontchev1.dat [C: \ \文档和设置\ \管理员\ \本地设置\ \应用程序数据\ \ gdipfontchev1.dat]

　　 7.列举目前流行的游戏流程。如果找到，就会结束，并提示：您不小心打开了XXX【XXX是游戏名称】，现在已经为您关闭。

　　 0x04解决方案：

　　 1.由于该病毒的特点是运行后为当前进程创建XXX增强version.exe，所以可以考虑用关键字“增强版”批量结束进程。最好结束几次，防止再次运行。

　　 2.病毒[或恶作剧软件]没有防冰刃、XueTr等驱动级进程管理器，我们可以用它们强制结束，删除XXX增强version.exe。

　　 0x05摘要：

　　该病毒作者利用部分玩家想用辅助【外挂】软件玩简单游戏的心理，成功感染了大量玩家电脑，不过幸好这个病毒【恶作剧软件】没有在网络上操作，否则就是僵尸集群，后果不堪设想。近年来，很少看到对其流程的相互监督。

　　作者：Sp4ce，转载自https://bbs.ichunqiu.com/forum.php? mod=viewthreadtid=8050 ctid=127

　　更多crossfire无法找到入口(crossfireexe应用程序错误)相关信息请关注本站，本文仅仅做为展示！