一旦病毒体被安全软件查杀,此时用户打开doc文档会发现是乱码,当然可以正常显示出来的内容是“邹小朋爱邹琪”——看上去像是一个男人喜欢一个女人的样子。
安全专家拿到病毒样本,进行了深入解析,这个病毒样本是一个名为“增电源标识8.30.doc”的word文档。
1、病毒简介
使用word打开“增电源标识8.30.doc”文档,显示的是乱码,只有使用“增电源标识8.30.exe”打开才能正常显示内容。
(1)增电源标识8.30.exe
doc文档加载器,图标是doc的默认图标,会释放灰鸽子等其他病毒木马。
(2)增电源标识8.30.doc
被恶意篡改过的doc文档,用户机子上应该是被隐藏,需要显示隐藏文件才能查看到。
2、增电源标识8.30.exe doc文档相关的行为
(1)获取doc文档的完整路径并且以可写的方式打开,比如C:\增电源标识8.30.doc。
(2)将正确的DOC的头数据“D0CF11E0A1B11AE100000000”写入到C:\增电源标识8.30.doc中(内存中的doc文件,硬盘里面的数据没有被修改的)。
(3)调用ShellExecuteA打开当前的doc文档
3、使用16进制编辑工具c32asm修复被篡改的doc文档(其他的16进制编辑工具也可以)。
(1)用c32asm打开被篡改的doc文档,选择doc文档的前12个字节的数据,复制引号内的数据“D0CF11E0A1B11AE100000000”替换原先的数据:选择编辑-特殊粘帖-ACSSII Hex。
(2)修复后的文档,貌似应该正常吧。
- 上一篇:Windows 7设置远程协助
- 下一篇:警惕文本文件竟变身成病毒