奇点智能科技

 找回密码
 立即注册
搜索
热搜: 活动 交友
查看: 215|回复: 1

记一次U盘中病毒遭遇加恢复方法

[复制链接]

44

主题

71

帖子

408

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
408
QQ
发表于 2017-7-25 15:03:01 | 显示全部楼层 |阅读模式

哇!自七年前学会上网以来,第一次遇到病毒!激动……

起因

事情是这样的:博主刚去学校的打印室打印资料,回来把 U 盘插到自己的电脑上一看,居然 U 盘里所有的文件夹都变成了 .exe 可执行文件!

刚看到这种情况其实我是懵逼的:完了,我是不是遇到加密敲诈病毒了?我 U 盘里的资料怎么办?卧槽我这好不容易做的启动盘又要格式化重新做了?

处理过程

冷静下来一看,发现了破绽!

首先是这几个“文件夹”大小都是 75.6kb

其次是 U 盘的已用空间与之前相比并没有多大出入

这就说明 U 盘里之前的文件其实都还在,只是被暂时隐藏了!

在文件管理器里勾选上“隐藏的项目”

果然,之前 U 盘里的文件妥妥的都在这呢。

病毒分析

用 MD5 效验工具进行检测,发现之前在文件夹里的四个 exe 文件的 MD5 值是完全相同的,这就说明它们其实是同一个病毒。抓取其中的一个,上传到腾讯哈勃分析系统分析,从分析结果中得知其主要行为有三:

  • 创建开机启动
  • 劫持windows文件管理器
  • 替换QQ重要组件
  • 在桌面创建一大堆的网址快捷方式

有了分析报告,就大概地知道这个病毒有什么操作了。

按耐不住好奇之心,我又在隔离沙箱里运行了这个病毒,把它释放的一些文件都收集了出来。

其中释放的快捷方式里的网址已经无法打开。直接百度这个网址,相关的提问都是几年前的,说明这个病毒真的是有一定的历史了……

既然网址都打不开了,这个病毒也失去了它应有的作用。那就玩到这里打止吧。

附件

病毒样本(解压密码 123)




病毒主文件哈勃分析报告
https://habo.qq.com/file/showdetail?md5=c0a5cf24d2a461fbbef12271cf7a57ed

病毒释放的 TaskTray.dll 哈勃分析报告
https://habo.qq.com/file/showdetail?md5=25544c18a0ffaf5af296250e7d1292f4

原文来自http://mkblog.cn/718/

一键恢复隐藏文件软件下载地址:https://pan.baidu.com/s/1bpveZxX

回复

使用道具 举报

23

主题

67

帖子

373

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
373
发表于 2017-7-26 17:39:20 | 显示全部楼层
我的记得只是显示隐藏文件还是不行,同时还得显示受保护的操作系统文件 才行
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|奇点智能 ( 皖ICP备17011924号 )

GMT+8, 2018-2-23 12:44 , Processed in 0.123479 second(s), 22 queries .

Powered by QiDianzhinengkeji X3

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表