前天从同学电脑上发现的一个新变种(木马名称:变种尼姆亚,瑞星标示为Worm.Nimaya.av) ,用我的瑞星之前的版本都无法查杀,直到1月15号的18.62.02才加入病毒库,不知道是不是瑞星给06版的毒库比07版的少啊,太恐怖了。花了一天时间编写了一个小程序来修复被变种尼姆亚感染的可执行文件,也算是我的第一个比较有用的程序了,至少帮那位同学把他全部程序都修复过了。现发布程序,供杀毒软件没有升级的使用。如果对程序不放心,我也提供源代码和dev-c++工程文件,大家可以自己编译。因为时间紧促,程序质量不一定能看上眼,凑和着用吧。可执行文件经过Upack加过壳,文件从270k降到70k。
可执行文件下载地址:http://source.xiaonei.com/tribe/20070116/0350/orig13301.exe
源文件压缩包下载:http://source.xiaonei.com/tribe/20070116/0350/orig13299.rar
程序的结构比较简单(命令行的,不过已经很人性化了),因为木马感染模块比较简单,仅仅在正常程序文件前附着木马文件,并且大小固定。木马来感染exe文件,做这个不专业啊。那个“武汉男生”还是应该专心研究木马隐藏,研究研究rootkit也不错啊;要不就去玩点溢出攻击,玩真的病毒,不要总是弄出来一些四不像的东西。如果真弄出个冲击波那才叫高手,那些代码复制我的文件我无话可说,像这种木马,通过各种手段引诱一些初学者来点击,用些双击自动播放的伎俩,还好意思去感染exe。但愿是手下留情才简单地感染,也让我简单地修复。
程序首先杀掉木马进程spoclsv.exe(如果有的话),删除其随系统启动的文件%system32%\drivers\spoclsv.exe
然后对系统进行免疫,包括恢复“显示所有文件和文件夹”选项,禁止所有驱动器“自动播放”功能,禁止运行程序%system32%\drivers\spoclsv.exe。接着就开始修复,程序不能自动遍历所有文件夹(考试完后再添加这个功能),只能用户选择文件或目录,右键发送到 熊猫修复.exe ,前提是必须运行程序一次,让他把自己复制到sendto文件夹中。初次运行程序会在系统驱动器根目录下生成两个文件:
killNimaya.ini 配置文件。可以修改正常文件偏移地址,默认为E000(我们这儿的版本)。还可以修改一些选项,比如是否备份原文件,是否每次修复都进行系统免疫,默认为false,等。
killNimaya.reg 系统免疫。恢复“显示所有文件和文件夹”选项,禁止所有驱动器“自动播放”功能,禁止运行程序%system32%\drivers\spoclsv.exe 的注册表导入项,程序可以自动导入。
修复时,根据配置文件修复用户发送的文件和文件夹中的子文件,不包括子文件夹。所以如果感染较多可能会比较辛苦。
建议:全部修复后使用超级兔子清理重复文件或备份文件;下载瑞星尼姆亚专杀工具,他可以修复感染的网页文件
但不能修复exe,1.14版.
发表评论 
打印本文
推荐本文
加入收藏
返回顶部
关闭窗口
