Hello! 欢迎来到阿珏酱のBlog!

程序员日常中病毒系列


avatar
阿珏 2017-05-04 3.19k

DropFileName = “svchost.exe” 问题解决方案

事情是这样的,一朋友发来源码让我看下,手残不小心点到里头的一个exe文件,弹出联网请求,我便迅速关掉,之后发现同目录多了一个伪装成系统音乐文件夹的exe可执行文件。我就感觉到事情不妙了,但是又不能确定,随后删除这整个文件夹时提示有程序正在使用。

我就放那暂时没有管他了,之后的两三个小时,越发觉电脑响应的速度越慢了,物理内存飙高。就将电脑重启了。

之后就想写写代码,打开一个html的文件,发现大事情了,电脑所有的html都出问题了(如下图所示)。现在可以确定确实是感染病毒了。

然后马上马不停蹄的再次下载了个360,对电脑进行了全盘查杀(不要问我为什么下载360),长期裸奔的电脑,难免会来个一两次的。

单个测试,发现360只会把病毒代码删掉,不会把这个文件删掉,但是最下方被注释掉的部分代码就不会删掉了,到最后我还得要手动在处理一遍,虽然不处理也没什么太大问题,但是强迫症,苦逼( ╯▽╰)

代码原理(作用):
这串script代码是一串vbs语言的病毒,中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符,不仅仅是html文档,连dll文档也会被感染。当然这种病毒不要太惊慌,因为他只是起到破坏文件的作用,不会有上传隐私,盗号等危害。
这串代码大概意思就是找到svchost.exe这个进程然后注入数据运行,注入的就是后面的进制代码来运行。这种病毒和其他病毒不同的是这种vbs病毒感染能力非常强,html文件一旦被感染,那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件。
的确,DLL文件也会被感染,导致部分软件可以正常使用,不过杀毒软件会报毒。而且你会发现你运行很多常用软件都会报毒,比如以前常用的迅雷丶酷狗等等一些常用的软件你再打开的时候居然提示都有病毒,当时我就觉得特别奇怪,迅雷是在官网下载的怎么可能会报毒呢?所以这里的原因就是vbs病毒感染了迅雷等软件的安装文件中的dll,所以杀毒软件会不停的报毒,报毒名称也是vbs脚本病毒。
提示:文中图片已被外星人劫走

  • avatar
    游客

    我猜需要腾讯安全管家:
    急救箱、文档守护者、漏洞修复、诈骗信息查询4大安全能力再升级,
    全面守护安全,让你更无所惧。
    自研杀毒引擎,能力引领国际,屡获国际评测认证,黑客大赛荣耀加冕
    遇到顽固病毒清除不了?打开管家工具箱,在【系统】分类下,找到系统急救箱。
    管家急救箱通过自建虚拟系统技术,深入系统底层查杀顽固病毒,操作简单,只需重启一次就能搞定!
    当某个文档不小心被误删除了,可以打开误删文档找回功能,此时文件列表会出现近期被删除的文档,找到您想要的文件勾选后,点击开始还原 再选择一个置顶的导出路径,点击确认还原就搞定啦!

  • avatar
    游客

    看起来 很可怕的赶脚。。。

    • avatar
      游客

      @ 兔子 @兔子:少侠,留言不留下身份吗

发表评论
OωO表情

相关阅读