?前幾天用U盤插了別人的電腦，致使自己的電腦中了skypee病毒（暫且叫這個名字吧）。目前我發現的該病毒的針狀有，無故創建快捷方式，一般在一級文件夾目錄下包含有該文件夾名字的快捷方式，U盤還有一些my games、my pictuers、my videos、hot、downloads、movies之類的類此Windows庫文件夾的快捷方式。刪除之后又會建立該快捷方式。所有的這些快捷方式都被偽裝為了文件夾的標志，并且指向一個叫AutoIt3.exe程序的位置，點擊就運行了。由于還好沒有聯網，該病毒盜取不了什么東西。

? ? ?國產殺毒軟件這個病毒都解決不了，我也是醉了，還要我自己手動殺。哎。。。?

? ? ? 一、我們要找到該病毒的位置。一般病毒都會設置為隱藏，讓我們看不見，但這恰恰給了我們找到它的方法。我們先顯示隱藏的文件。win7下的步驟為雙擊“計算機”，左上角的“組織”，出現下拉菜單，點擊“文件夾和搜索選項”，就進入了“文件夾選項”界面。點擊“查看”，把“隱藏受保護的操作系統文件（推薦）”前面的勾去掉。選擇 “顯示隱藏的文件、文件夾和驅動器”。?

快捷鍵 Win + R，再輸入 control folders?也可以直接進入“文件夾選項”界面。

1.1顯示隱藏的文件-過程圖示

? ? ??

二、我們把所有驅動器（包括U盤）下面的隱藏的Skpee文件夾都刪除，特別要注意，C盤下面還有一個隱藏的Google文件夾，也要刪除，這些文件夾里面都有一個AutoIt3.exe的程序，好像還有一個google快捷方式，還有googleupdate.a3x腳本，記不太清楚了。如果無法刪除，顯示正在使用之類的，我們打開任務管理器，Ctrl+Alt+delete，再點擊“啟動任務管理器(K)”，或者直接在win7菜單欄右鍵，點擊“啟動任務管理器(K)”。點擊“顯示所有用戶的進程”，把AutoIt3.exe進程結束（點擊對應進程，再點擊右下角的結束進程）。

可以搜索AutoIt3.exe?,把所有的相關文件都刪除，這樣比較保險。?

真正的病毒體是googleupdate.a3x

執行時依靠AutoIt3.exe調用googleupdate.a3x腳本。便會執行其中的惡意代碼

如：

C:\Windows\system32\cmd.exe /c start skypee\autoit3.exe autoit3executescriptskypee\googleupdate.a3x explorer "�%" & exit

?還有很多人一開機就顯示 “找不到C:\Google\googleupdate.a3x”之類，就是應為刪除了該文件，沒有清理開機啟動項、注冊表之類的垃圾。

三、刪除開機啟動項。Win+R，再輸入msconfig?，再點擊“啟動”，把紙箱之前刪除的文件相關的開機啟動項都刪除。有可能隱藏為啟動項目為Adobe update之類，注意看清楚“命令”一行中應用程序的實際名字。記住“位置”中相應的鍵值。用于之后清理注冊表。

四、清理注冊表?。Win+R，再輸入regedit，打開注冊表編輯器，點擊找到之前記錄的位置，將這些注冊表刪除。

五、刪除病毒創建的快捷方式。手動找到一級文件目錄下的所有無效快捷方式。第三四五步都可以用一些**殺毒軟件、者**安全衛士、**管家來完成。

? ? 到這里，病毒就全部清理完成。不放心可以用下殺毒軟件做個全盤掃描一下。

六、代碼分析（googleupdate.a3x）。

這部分摘抄自 紅黑聯盟，網址http://www.2cto.com/News/201409/339162.html

代碼總共接近3300行，前1300行左右像是復制了一個通用代碼。

里面有大量的常量的聲明，封裝了大量的WinAPI和GDI函數，并定義了大量的字符串、數組操作函數，甚至有限制鼠標活動范圍的函數。

但這些預定義好的常量和函數后面用到的卻很少。可能是出于作者習慣，每個腳本都要帶上這段通用代碼方便隨時調用。

中間1582行是在拼一個很大的變量，內容是用base64編碼過的

?

解開之后是一個不明身份的小帥哥照片。看照片信息是用三星Galaxy S4手機(GT-i9500)拍攝的，并經過PS處理，但沒找到GPS左邊或其他有用的信息，無法推斷這人是誰……并且病毒執行后也沒有調用這段數據，完全是一段垃圾數據。

?

只有最后的400行是真正的病毒代碼。這部分代碼主要做了四部分的工作：

一、 檢查自身運行環境

二、 創建開機自啟動

三、 感染全部磁盤

四、 駐留內存并與服務器通信實現遠程控制

【檢查自身運行環境】

1. 檢查自身是否存在于“c:\google”目錄下，或目錄中是否包含“skypee”字樣，如果都沒有則退出

2. 通過創建互斥量“googleupdate”檢查自身是否已經運行，如果已經運行則退出，不重復運行

3. 檢查自身是否處于被分析的環境中，如果認定自己處于被分析的環境則退出。檢查邏輯如下表(字符串檢測均不區分大小寫)：

4. 檢查自身是否在“c:\google”目錄下，若不在，則將自身當前所在目錄復制為“c:\google”，同時將目錄設置為只讀/系統/隱藏屬性，啟動新目錄下的病毒腳本，并退出自身。

?【創建開機自啟動】

手法比較常規，就是寫注冊表的run項和向“啟動”目錄添加快捷方式：

1. 注冊表run項

?

2. 向“啟動”文件夾寫入快捷方式

?

【感染全部磁盤】

1. 檢測注冊表值，設置為不顯示系統SuperHidden的文件：

2. 遍歷本地磁盤，在每個盤符下作如下操作：

a) 在當前盤符根目錄下新建名為“skypee”的目錄。并將autoit3.exe和病毒腳本復制到該目錄下。并將該目錄屬性設置為“只讀/系統/隱藏”

b) 遍歷當前盤符根目錄下所有文件夾，在每個文件夾下，創建一個與該文件夾同名的快捷方式文件。快捷方式指向a步驟中創建的病毒。并將快捷方式圖標設置為文件夾圖標

c) 如果當前盤符屬性為“removable”(最常見的是U盤)，則會在盤符根目錄下額外創建如下名稱的快捷方式，指向a步驟中的病毒復制體，并將快捷方式圖標設置為文件夾：

my games

mypictuers

my videos

hot

downloads

movies

【遠程控制】

腳本在完成上述操作之后，會利用一個死循環代碼常駐系統內存，并與遠端服務器通信實現遠程控制。

1. 首先會循環嘗試解析服務器列表中的所有域名，一旦解析成功則使用這個解析成功的域名作為連接地址，跳出這個嘗試循環。不過腳本本身只在列表中填了一個域名：superyou.zapto.org

2. 進入常駐內存的遠控死循環，連通遠程服務器的95端口。成功后，會先將本地的機器名、用戶名、所在國家、系統版本、當前存在的安全軟件等信息發送出去。然后等待遠端指令進行進一步操作。接受的指令如下：

由于腳本本身特性所致，很容易被編輯修改。所以分析人員將遠控的控制服務器稍作修改，就在自己的機器中實現了對虛擬機內腳本的控制。

此篇博客本人新浪博客地址：http://blog.sina.com.cn/s/blog_9d62d0a50102w0v7.html

總結

以上是生活随笔為你收集整理的手动查杀skypee病毒（AutoIt3木马）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。