虚拟病毒分析与清除方法

最新推荐文章于 2024-01-26 16:32:44 发布
原创 最新推荐文章于 2024-01-26 16:32:44 发布 · 1.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #反病毒

本文介绍了如何在Windows XP虚拟环境中分析和清除VirtualVirus。病毒会自我复制为explorer.exe和taskmgr.exe并修改注册表以随系统启动。清除步骤包括结束相关进程,修改注册表,以及删除病毒副本。

实验工具与环境配置

  • 虚拟机软件:VMware Fusion 11.5.5
  • 操作系统:Windows XP
  • 虚拟病毒:VirtualVirus
  • 进程管理器:IceSword

运行虚拟病毒

在 Windows XP 虚拟机中,运行 VirtualVirus 可执行文件。

截屏2020-06-06下午7.01.00

从现象上看,病毒会导致每隔一段时间就弹出一个对话框,不断累积。

事实上,触发虚拟病毒之后,除了开启本身进程(VirtualVirus)之外,还会把自身复制到 C:\WINDOWS\system32 和 C:\WINDOWS\ 目录,并分别改名为 explorer.exe 和 taskmgr.exe,然后启动它们。而这两个进程的名称正好与系统进程相同,可以起到混淆作用。不仅如此,这两个进程还互相监控,一旦一个进程被杀掉,另一个进程就再次启动它。

截屏2020-06-06下午8.06.44

截屏2020-06-06下午8.07.42

此外,虚拟病毒还会修改注册表,使 C:\WINDOWS\system32\explorer.exe 和 C:\WINDOWS\taskmgr.exe 随系统自动启动。

最低0.47元/天 解锁文章
Synares感染型简单分析
信息安全
10-24 2万+
文章目录前言样本简单分析 前言 Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告 样本简单分析 当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。 样本会判断互斥体避免多开,获取一些资源
感染型病毒的逆向分析
07-16
一个感染型病毒的逆向分析,说实话分析的不咋地,没有解决就等于没分析
Srv感染型病毒专杀工具.rar
05-20
相信有部分人中了Srv全盘感染之后束手无策 甚至有的人都不知道自己中了感染病毒。 Srv这个病毒会感染全盘所有EXE文件,包括游戏等。 360和QQ管家等杀毒工具全盘查杀不干净,运行软件又会感染,很烦人。 曾经, 对于这个病毒有一个处理手段,就是全盘格式化,然后重装系统。这代价太大了有木有。 全盘格式化之后再恢复硬盘数据太浪费时间了有木有。 一不小心又被感染了有木有。。。。 现在你可以无视Srv了,这个工具就是针对Srv的一个专杀,可彻底查杀,无后遗症,亲测
虚拟机服务器存储中病毒,如何处理服务器虚拟化中的存储问题
weixin_36044301的博客
08-03 402
摘要:服务器虚拟化因虚拟机蔓延,虚拟机中用于备份灾难恢复软件配置的问题,让许多组织彻底改变了原有的数据备份灾难恢复策略.EMC,HitachiDataSystem,IBM,NetApp和Dell等都致力于服务器虚拟化存储问题,提供包括存储虚拟化,重复数据删除自动化精简配置等解决方案. 服务器虚拟化存储问题出现在数据中心虚拟化环境中传统的物理存储技术.导致虚拟服务器蔓延的部分原因,在于虚拟服务...
病毒分析
a562449131的博客
08-30 2223
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之前,首先要把...
计算机病毒对抗分析:学习资料分享
2. **病毒清除系统恢复**:一旦发现病毒,需要采取相应的清除措施。这可能包括删除受感染的文件、隔离可疑程序、修复被破坏的系统文件等。在清除病毒后,还需要对系统进行全面恢复,确保系统的正常运行不受影响。 ...
计算机病毒防治常用的病毒分析软件PPT课件.pptx
10-09
【计算机病毒防治】是信息技术领域的一个重要主题,涉及到如何识别、分析和防范恶意软件,尤其是计算机病毒。在这个过程中,了解并使用合适的病毒分析软件至关重要。以下是一些常用的专业工具介绍: 1. **...
蠕虫病毒原理防御:VBS源码分析及解毒方法
本文标题“蠕虫病毒代码解毒[可运行源码]”明确指出了其内容不仅包含对蠕虫病毒技术原理的深入剖析,还提供了实际可运行的VBS(Visual Basic Script)源码示例以及对应的清除工具,这使得该资料在网络安全研究领域...
实验四-VBScript脚本病毒分析清除
Onlyone_1314的博客
09-26 9432
实验名称】 VBScript脚本病毒分析清除实验目的】 1.了解VBScript如何实现文件、进程及注册表操作 2.了解VBScritp病毒的工作原理 3.了解VBScritp病毒的感染目标和感染方式 4.掌握编写VB脚本病毒专杀工具的一般方法实验原理】 VBScript语法(可查询“微软VbScript手册vbs.chm”) 1.文件操作 (1)创建文件对象:文件操作前都要创建文件对象 Set fso = CreateObject(“Scripting.FileSystemObj
一个模拟病毒的程序
04-25
一个模拟病毒的程序 一个模拟病毒的程序
一个好玩的模拟病毒的软件,完全安全
06-20
一个好玩的模拟病毒的软件,完全安全一个好玩的模拟病毒的软件,完全安全
全盘 U盘查杀Synaptics 恢复exe和xlsx文件.7z
12-30
Synaptics.exe病毒专杀工具 Synaptics.exe蛀虫病毒专杀
symantec FxRamnit专杀工具 Virus.Win32.Ramnit.X专杀工具.zip
07-28
Symantec FxRamnit专杀工具:virus.win32.ramnit.x病毒专杀,该病毒感染全盘EXE HTM HTML DLL文件,感染后的EXE运行后会在该EXE同目录下生成一个同名+srv.exe文件,使用本工具可以真实清除并修复破坏的文件。比某3x0急救箱有效得多。
Virus专杀工具 Virus.Win32.TuTu(Sality) 专杀
05-22
Virus.Win32.TuTu(Sality) 专杀
虚拟病毒会感染电脑吗?
热门推荐
Impulse is the Devil
03-11 1万+
基本就是两个方向,一个方向是虚拟机本身存在漏洞,历史上在18、19年的时候VMware就出现过这样的一次问题: VMware Workstation有一个拖放功能,就曾经出现了越界内存访问漏洞,在虚拟机正常情况下应该是访问虚拟的内存,而不访问宿主机(实体机)的内存,但漏洞导致有时候会访问实体机内存,黑客就可以制作一个命令执行。如果虚拟机已经中毒了,病毒就可以逃出虚拟机感染宿主机,在宿主机上执行命令。 第二个方向是在自己不知道虚拟机已经被病毒感染的情况下,从虚拟机里把文件拷贝出来,存储到了宿主机的硬盘中,就
4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示影响&&家族识别&解密工具
最新发布
m0_65842464的博客
01-26 1928
勒索病毒是一种新型电脑病毒,主要以RDP爆破、钓鱼邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
VMware虚拟机系统也被勒索病毒盯上了
qq_42934452的博客
05-25 4003
3月15日,有VMware Vsphere用户发博称,他们的大量虚拟机被恶意关闭,并且处于无法连接状态,导致用户生产环境停线严重事故。经排查,他们的虚拟机被勒索病毒攻击,花了一整天的时间,才将业务恢复了80%左右。这件事引起了行业人士的广泛关注。 博主描述此次事件表现为: 1、VMware vSphere集群仅有vCenter处于正常状态。 2、同时企业中Windows桌面PC,笔记本大量出现被加密情况。 这意味着虚拟机系统也被勒索病毒盯上了。 VMware vSphere部分: 浏览ESXI Datast
Chirsatmas病毒清除方法
是叶子终要回归大地,是爱情总会沉入海底。
12-25 747
中毒现象:向你MSN好友发送名为:Chirsatmas的文件。我在虚拟机中分析了一下,哎,这么弱智的病毒也敢出来混。清除方法:1:结束进程。进程名为:servidevice.exe。用冰刃或其他工具。进程是隐藏的。2:删除文件。路径:%systemroot%及windows目录下。名称:ervidevice.exe。建议也用冰刃或其他工具。文件是隐藏的。4:清除注册表:在[HKEY_LOCAL_M
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值