가짜 linkinfo 악성 프로그램은 완전히 죽이기 위해 정확히 무엇을 합니까?

3가지 솔루션을 제공합니다. 행운을 빕니다! (바이러스에 대한 자세한 지침은 나중에 설명하겠습니다)

방법 1:

마이크로포인트를 업데이트하고 다시 시작한 후 안전 모드에서 마이크로포인트를 사용하여 종료하세요. 그래도 문제가 해결되지 않으면 아래의 수동 방법을 시도해 보세요.

시스템 Repaire Engineer(SRE) 2.4.12.806 다운로드:/zsgj/MagistrKiller.exe

바이러스 설명:

linkinfo.dll virus-"Ma Worm .Magistr” 바이러스 제거 도구

“Worm.Magistr” 바이러스 제거 도구

도구 이름: “Worm.Magistr)" 바이러스 제거 도구

소프트웨어 버전: 1.0

소프트웨어 크기: 320KB

애플리케이션 플랫폼: Windows 플랫폼

업데이트 시간 ：2007-06-12

릴리스 시간: 2007 -06-12

출판사: Beijing Rising Technology Co., Ltd.

무료 다운로드: 로컬 다운로드(위에 다운로드 주소를 포함시켰습니다)

소프트웨어 설명

바이러스 이름: Worm.Magistr.g

이 바이러스는 C 언어로 작성된 감염성 바이러스로 접미사 이름이 EXE인 32비트 PE 실행 프로그램을 감염시킵니다. 바이러스 소스의 크기는 40KB입니다.

바이러스 소스 파일은 boot.exe로, 사용자가 U 디스크에서 추출한 파일입니다.

바이러스 소스 파일 처리:

boot.exe 실행 후 드라이브의 루트 디렉터리에 있는지 확인하고, 없으면 종료하세요.

"C:\WINNT\linkinfo.dll"이 있는지 확인하고, 없으면 파일을 생성하세요.

드라이버 파일이 있는지 확인하세요. 없으면 드라이버 파일 SystemRoot\system32\drivers\IsDrv118.sys를 생성하고(로드 후 삭제) ZwSetSystemInformation을 호출하여 드라이버를 로드하세요.

dll을 로드한 다음 바이러스가 호출한 일련번호 101로 내보낸 함수를 찾습니다.

DLL 프로세스:

DLL이 로드될 때:

1. 시스템 sfc.dll에서 SfcIsFileProtected 함수 주소를 획득하여 실행 중에 호출할 수 있습니다. 감염을 예방하려면 시스템 보호 파일을 사용하세요.

2. 시스템의 linkinfo.dll(system32 디렉터리 아래)에서 다음과 같은 내보낸 함수를 얻고 동일한 이름의 내보낸 함수가 일반 linkinfo.dll의 올바른 함수를 가리키도록 만듭니다. 기능을 이전할 수 있습니다.

ResolveLinkInfoW

ResolveLinkInfoA

IsValidLinkInfo

GetLinkInfoData

GetCanonicalPathInfoW

GetCanonicalPathInfoA

p>

p>

DisconnectLinkInfo

DestroyLinkInfo

CreateLinkInfoW

CreateLinkInfoA

LinkInfoVolumes 비교

CompareLinkInfoReferents

3. explorer.exe 프로세스에 있는지 확인하세요. 그렇지 않은 경우 바이러스 메인 스레드를 시작하세요.

4. 바이러스의 메인 스레드를 시작합니다.

바이러스는 먼저 VMWare 백도어 명령을 통해 VMWare에서 실행되고 있는지 확인합니다. 가상 머신 실행에서 감지되지 않습니다.

"PNP#DMUTEX#1#DL5"라는 뮤텍스를 생성하여 하나의 인스턴스만 실행되도록 합니다.

그런 다음 각 작업자 스레드를 시작합니다.

5. 작업자 스레드 1(창 및 메시지 루프 생성)

숨겨진 창 및 메시지 루프를 생성하고 RegisterDeviceNotificationA 레지스터를 호출합니다. 장치 알림 메시지 삽입된 이동식 디스크가 발견되면 바이러스 소스 boot.exe가 이동식 디스크에 기록됩니다.

6. 작업자 스레드 2(모든 디스크를 탐색하여 감염)

"C:\"로 시작하는 모든 디스크에서 접미사 "exe"가 있는 파일을 감염시킵니다.

바이러스가 감염되면 "QQ", "winnt", "windows" 디렉터리에 있는 프로그램 파일은 감염시키지 않고, SfcIsFileProtected를 호출해 시스템 파일인지 검사한다. 감염되지 않았습니다.

동시에 바이러스는 다음 프로그램을 감염시키지 않습니다:

wooolcfg.exe

woool.exe

ztconfig. exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2. exe

Westward Journey.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain .exe

meteor.exe

patcher.exe

mjonline.exe

config.exe

zuonline .exe

userpic.exe

main.exe

dk2.exe

autoupdate.exe

dbfsupdate .exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb -service.exe

p>

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts .exe

gc.exe

zfs.exe

neuz.exe

Maplestory.exe

nsstarter .exe

nmcosrv.exe

ca.exe

nmservice.exe

kartrider.exe

audition .exe

zhengtu.exe

7. 작업 스레드 3(다른 바이러스 금지, Kaka Assistant 파괴 및 네트워크 감염)

프로세스를 열거합니다. 프로세스 프로그램 파일 이름(디렉토리 포함)이 다음 프로그램(일반 바이러스 프로그램)인 경우 프로세스를 종료합니다.

realschd.exe

cmdbcs.exe

wsvbs .exe

msdccrt.exe

run1132.exe

sysload3.exe

tempicon.exe

sysbmw .exe

rpcs.exe

msvce32.exe

rundl132.exe

svhost32.exe

smss.exe

lsass.exe

internat.exe

explorer.exe

ctmontv.exe

iexplore .exe

ncscv32.exe

spo0lsv.exe

wdfmgr32.exe

upxdnd.exe

ssopure.exe

i

expl0re.exe

c0nime.exe

svch0st.exe

nvscv32.exe

spoclsv.exe

fuckjacks.exe

logo_1.exe

logo1_.exe

lying.exe

sxs.exe

이 바이러스는 Kaka Assistant 드라이버의 "system32\drivers\RsBoot.sys" 항목을 수정하여 드라이버 로드에 실패하게 만듭니다.

네트워크 리소스를 열거하고 네트워크 리소스에 있는 파일을 감염시키려고 시도합니다.

LAN에 있는 컴퓨터의 숨겨진 공유 폴더 "s\\IPC$", "C$" 등에 "setup.exe"라는 바이러스 소스 파일을 열거하고 기록해 보십시오. 연결을 시도할 때 사용자 이름을 "Administrator"로 하고 다음 비밀번호를 사용해 보십시오.

비밀번호1

원숭이

비밀번호

abc123

qwerty

letmein

p>

letmein

p>

루트

mypass123

소유자

test123

사랑해요

admin123

qwer

!@#$^amp;*()

!@#$^amp;*(

!@#$^amp ;*

!@#$^amp;

!@#$^

!@ #$

asdfgh

asdf

!@#$

654321

123456789

12345

admin

p>

8. 작업 스레드 4(호스트 파일 수정 및 다운로드)

호스트 파일을 호스트로 백업합니다. txt 및 파일을 대신 다운로드하십시오.

시스템 html 파일의 연결을 찾아 프로그램을 실행하고 dll을 주입하여 방화벽 차단을 통과하십시오.

다음 주소에 연결하여 다운로드하십시오. 파일

372*****rg/c.asp

37****rg/top.dat

9. 다른 바이러스를 모니터링하고 차단)

드라이버를 호출하여 새로 생성된 프로세스를 가져옵니다. 프로세스 파일이 지정된 프로그램(작업자 스레드 3 참조)인 경우 프로세스를 종료합니다.

드라이버 :

로드 후 드라이버는 먼저 SDT의 함수 주소를 교체하여 후크합니다.

ZwSaveKey

ZwQueryDirectoryFile

ZwClose

ZwEnumerateKey

ZwLoadDriver

...

API가 바이러스의 레지스트리 키가 발견 및 수정되지 않도록 보호하고 바이러스 파일을 숨길 때까지 기다립니다(부팅 .exe, linkinfo.dll, nvmini.sys 등),

일부 보안 소프트웨어 드라이버를 로드합니다.

그런 다음 드라이버는 사용자 프로세스라는 장치를 생성합니다. ioctl = 25270860을 통해 마지막으로 생성된 프로세스의 프로세스 ID를 얻을 수 있습니다.

이 프로세스 ID는 PsSetCreateProcessNotifyRoutine을 호출하여 얻습니다.

로드된 이미지 파일이 다음 하위 디렉터리에 있는 경우 드라이버는 PsSetLoadImageNotifyRoutine을 통해 이미지 로드 알림도 설정합니다:

COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32

이름:

DLLWM.DLL

WININFO.RXK

RICHDLL.DLL

WINDHCP.DLL

DLLHOSTS.DLL

NOTEPAD.DLL

RPCS.DLL

RDIHOST.DLL

RDFHOST.DLL

RDSHOST.DLL

LGSYM.DLL

RUND11.DLL

MDDDSCCRT.DLL

WSVBS.DLL

CMDBCS.DLL

UPXDHND.DLL

이 드라이버는 물리적 메모리를 수정하여 모듈 항목을 수정하므로 이러한 모듈은 오류를 반환하고 성공적으로 로드할 수 없습니다. 이러한 동적 라이브러리는 대부분 비밀번호 도용 바이러스 및 Worm.Viking 동적 라이브러리이므로 Magister에 감염된 시스템은 이러한 바이러스에 다시 감염되지 않습니다.

감염된 파일:

바이러스에 파일이 감염되면 원본 파일의 마지막 섹션을 늘리고 감염된 파일의 코드 섹션에 바이러스 코드를 쓴 후 수정합니다. 진입점이 Virus 코드를 가리키도록 하고 원래 진입점 주소를 저장한 후 덮어쓴 원본 파일, 바이러스 dll, sys 파일의 코드를 파일 마지막 부분의 확대된 위치에 압축하여 저장합니다. 감염된 파일이 실행되면 먼저 바이러스 코드가 실행되어 C:\WINNT\linkinfo.dll, SystemRoot\system32\drivers\IsDrv118.sys가 해제되어 로딩된 후 linkinfo.dll의 일련번호 101번 기능이 실행된다. 라고 불리는. 바이러스 코드는 결국 원본 파일의 덮어쓴 코드를 복원하고 원본 파일의 항목으로 다시 점프하여 원본 파일 실행을 시작합니다.

행운을 빌어요!