不怕系统崩溃就别看：揪出仿冒360病毒

近日截获一款伪装360修复工具的病毒，该病毒会释放tmp格式的随机文件名驱动。该驱动会导致大量安全软件运行时提示不是有效win32应用程序。
SM4M2Le0IXPUB技术博客#Jv^D%vaBx
IXPUB技术博客-c6uw,UD@
IXPUB技术博客(ek Px$a:d @*q#o/C?
nt41_1.jpg
ANK#z+g4Da j0图1IXPUB技术博客 j.N]qP)?TH
IXPUB技术博客(X1P^hOp*N

4F0E}c1i^X!F7@0
x[;RgGJ0IXPUB技术博客
RN(@S8C$wB
nt41_2.jpgIXPUB技术博客6\b)K&e7xLm_IM)~
IXPUB技术博客o-@bo-[i%~.~
a
图2
HK4A7BfvaO+o^;w0    常用的安全软件例如：360安全卫士、冰刃、Autoruns、gmer、RootkitUnhooker等。IXPUB技术博客vV!K4If#~x
    创建多个特权进程访问网络：
d_Yg@,pX0IXPUB技术博客qT.v:U.MAd5c
IXPUB技术博客@],k3bA

d2w3T{*k~p+n,W0nt41_3.jpgIXPUB技术博客4p.y
D]g0?v

)hWGzfl;q0图3 创建进程IXPUB技术博客4j1L$O HyJ(pW
    弹情色网页后台下载各类病毒：
%{SUqt fi0IXPUB技术博客6g-J
iL#_U G}\
IXPUB技术博客]5EK)E}&N(o[MJLt
IXPUB技术博客}?9c%D&v4j2T
N ]'z
IXPUB技术博客^([V"lL C;j
nt41_4.jpgIXPUB技术博客%\q3El-Gz
IXPUB技术博客z)n6R-@ZZ3[4h
图4 删除病毒
@6Xf)GF1E$}0    在启动目录下释放启动项baidu.lnk:
)r{!H4]QM2b0IXPUB技术博客"]4qx!`m(\_/hK%?h

qtm_ JS0IXPUB技术博客)`s8ZjD

ky-_ f#s9\7`&h3?0nt41_5.jpg
LHW9P:N%KI0IXPUB技术博客v7n*s_*[N
图5 属性
k2T#h*lyq-F]0   Windows目录存放自身文件：
7F|IYXV `0
?L}-cRk0
d `
J Bn0IXPUB技术博客u"Wf:B,wm9Ki
nt41_6.jpgIXPUB技术博客\m:A6ES(xA"k
IXPUB技术博客0g*y^M)L0U Y:F6z+q;O
IXPUB技术博客8B-ye_4d L4S5_M
图6 存放文件
? j9`ADR`"H g2O0    写入仿冒360安全卫士与卡巴斯基的版本信息：
/].@*~
uim0IXPUB技术博客S\{/A
]or9w

2OGM/E SrkD/}2|s0
D0WQ[;B5BITY0
"uPo*Wk6SD0IXPUB技术博客pDDi-k8s/Snw
nt41_7.jpgIXPUB技术博客{ ]*Z3zlaL
IXPUB技术博客 l3pJ#jz;z:c M r9X
IXPUB技术博客*QY0\0m_8T$ag vH
图7 仿冒信息IXPUB技术博客#LNvc6B!s8k
    处理方法：IXPUB技术博客 eQ3y^(A+x N$U6na

&OZH~%hY3[t%|0
V&F7Ro r'[H%?0IXPUB技术博客
f1k4d
k~A7UM2A
IXPUB技术博客X)P Uu7\O&c0NP2|

jsCJ`0X4A0_0
;K0}"a.JhM&B"jer`E0nt41_8.jpg
sj0hD }
J0
.N%uh"t4G3p$_J(m0
8U!R5oO.^8td0图8 删除
'GO x+\c[-F6}F0    由于病毒驱动目前未设置随机启动，启动靠启动文件夹下的启动项启动并释放随机驱动文件。故删除启动文件夹下的baidu.lik文件即可。