Virus 战记（二）

 -You set the pace, and I try to adjust to you.
-我会跟随你的脚步。（你在我前面行走，我试着去追赶你。）
Sentence to one, maybe it is adept to you.
//Our article's begainning:
带着仔细的研究，我又回来了，首先先改正个错误，不是 Worm@Worm.Locked 而是 Worm@Worm.Looked，还有 Worm@Worm.ViKing。对于 Viking，它的能力是将自身隐藏于内，并监视系统的运行，一但有程序运行(它有一个特定的列表，该列表内的文件不会被监视)，它就把自己注入到 EXE 文件本身中，但有缺陷的是，被绑定后程序图标会变色，而且每当运行一个被绑定文件时，并都会自动释放一个源文件，并在 Temp 文件夹下生成 $Del##$.BAT 的文件，重新删除正常文件，同时还释放 dll.dll 到 Windows 文件夹下，并把一个名为"_desktop.ini”的系统隐藏文件放入每一个文件夹内，我在手动杀毒时竟然删了5409个。叙述完 Viking 我们就已经很讨厌它了，下面我所说的是清除。上次说无法清除是不完全晓得原理，这次是有备而来。用 WinHex 打开被绑定文件和病毒体，发现被绑定文件的前 33KB 字节偏移全部为病毒，此后全为正常程序，这就给数据修复软件一个机会去修复了。说到这里扯远一下，在 Logo1_.exe 运行时我会发现进程列表里出现 cmd.exe 这就让我想到一个 COPY 命令的功能，合并！使用 COPY /B 命令可以将源文件与另一个源文件按二进制的方式合并成一个文件，我想有的病毒可能使用这个命令，我们这里的 Viking 应该不会，因为它涉及到了图标的提取，一定是程序源码，那么 cmd.exe 的进程就一定来自 BAT 文件的运行。在扯回来，若要修复文件，就需要提取偏移33861起的所有字节写入一个文件，这就是源文件，于是我写了一个程序来恢复，有需要的可以管我要。另外说 Looked，它是下载器，绑定 IE，难怪我总发现进程列表里有 iexplore.exe。对它的清除有点麻烦，首先需要清空 Temp 文件夹，注意，里面有病毒生成的系统文件(如：shua.jpg)，在清空 Internet 缓存文件夹，最后也是比较麻烦的，关机进入带有命令行的安全模式，找到 X:/Program Files/Internet Explorer/ 其下有 IEXPLORE.win，IEXPLORE.sys 等隐藏和系统文件，删之。此外在 X:/Program Files/Internet Explorer/PLUGIN/ 下还有 System18.sys 等文件，再删之，运行 regedit.exe 找到 HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager/PendingFileRenameOperations 清空它(这是替换系统文件的键值)。
最后说一下，前几天给老婆修电脑，又发现 SERVICE.EXE 由于问题解决，这里就不再讨论。但有一个问题，他的电脑的问题很严重，所有的系统重要文件都被 MS-DOS 文件替换，例如 regedit.exe 被换为 regedit.com 非常倒，当我一句一句修好注册表时运行 EXE 文件，打开方式？真有聊，EXE 关联被删了。小心病毒吧。