?前幾天用U盤(pán)插了別人的電腦，致使自己的電腦中了skypee病毒（暫且叫這個(gè)名字吧）。目前我發(fā)現(xiàn)的該病毒的針狀有，無(wú)故創(chuàng)建快捷方式，一般在一級(jí)文件夾目錄下包含有該文件夾名字的快捷方式，U盤(pán)還有一些my games、my pictuers、my videos、hot、downloads、movies之類(lèi)的類(lèi)此Windows庫(kù)文件夾的快捷方式。刪除之后又會(huì)建立該快捷方式。所有的這些快捷方式都被偽裝為了文件夾的標(biāo)志，并且指向一個(gè)叫AutoIt3.exe程序的位置，點(diǎn)擊就運(yùn)行了。由于還好沒(méi)有聯(lián)網(wǎng)，該病毒盜取不了什么東西。

? ? ?國(guó)產(chǎn)殺毒軟件這個(gè)病毒都解決不了，我也是醉了，還要我自己手動(dòng)殺。哎。。。?

? ? ? 一、我們要找到該病毒的位置。一般病毒都會(huì)設(shè)置為隱藏，讓我們看不見(jiàn)，但這恰恰給了我們找到它的方法。我們先顯示隱藏的文件。win7下的步驟為雙擊“計(jì)算機(jī)”，左上角的“組織”，出現(xiàn)下拉菜單，點(diǎn)擊“文件夾和搜索選項(xiàng)”，就進(jìn)入了“文件夾選項(xiàng)”界面。點(diǎn)擊“查看”，把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”前面的勾去掉。選擇 “顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”。?

快捷鍵 Win + R，再輸入 control folders?也可以直接進(jìn)入“文件夾選項(xiàng)”界面。

1.1顯示隱藏的文件-過(guò)程圖示

? ? ??

二、我們把所有驅(qū)動(dòng)器（包括U盤(pán)）下面的隱藏的Skpee文件夾都刪除，特別要注意，C盤(pán)下面還有一個(gè)隱藏的Google文件夾，也要?jiǎng)h除，這些文件夾里面都有一個(gè)AutoIt3.exe的程序，好像還有一個(gè)google快捷方式，還有g(shù)oogleupdate.a3x腳本，記不太清楚了。如果無(wú)法刪除，顯示正在使用之類(lèi)的，我們打開(kāi)任務(wù)管理器，Ctrl+Alt+delete，再點(diǎn)擊“啟動(dòng)任務(wù)管理器(K)”，或者直接在win7菜單欄右鍵，點(diǎn)擊“啟動(dòng)任務(wù)管理器(K)”。點(diǎn)擊“顯示所有用戶(hù)的進(jìn)程”，把AutoIt3.exe進(jìn)程結(jié)束（點(diǎn)擊對(duì)應(yīng)進(jìn)程，再點(diǎn)擊右下角的結(jié)束進(jìn)程）。

可以搜索AutoIt3.exe?,把所有的相關(guān)文件都刪除，這樣比較保險(xiǎn)。?

真正的病毒體是googleupdate.a3x

執(zhí)行時(shí)依靠AutoIt3.exe調(diào)用googleupdate.a3x腳本。便會(huì)執(zhí)行其中的惡意代碼

如：

C:\Windows\system32\cmd.exe /c start skypee\autoit3.exe autoit3executescriptskypee\googleupdate.a3x explorer "�%" & exit

?還有很多人一開(kāi)機(jī)就顯示 “找不到C:\Google\googleupdate.a3x”之類(lèi)，就是應(yīng)為刪除了該文件，沒(méi)有清理開(kāi)機(jī)啟動(dòng)項(xiàng)、注冊(cè)表之類(lèi)的垃圾。

三、刪除開(kāi)機(jī)啟動(dòng)項(xiàng)。Win+R，再輸入msconfig?，再點(diǎn)擊“啟動(dòng)”，把紙箱之前刪除的文件相關(guān)的開(kāi)機(jī)啟動(dòng)項(xiàng)都刪除。有可能隱藏為啟動(dòng)項(xiàng)目為Adobe update之類(lèi)，注意看清楚“命令”一行中應(yīng)用程序的實(shí)際名字。記住“位置”中相應(yīng)的鍵值。用于之后清理注冊(cè)表。

四、清理注冊(cè)表?。Win+R，再輸入regedit，打開(kāi)注冊(cè)表編輯器，點(diǎn)擊找到之前記錄的位置，將這些注冊(cè)表刪除。

五、刪除病毒創(chuàng)建的快捷方式。手動(dòng)找到一級(jí)文件目錄下的所有無(wú)效快捷方式。第三四五步都可以用一些**殺毒軟件、者**安全衛(wèi)士、**管家來(lái)完成。

? ? 到這里，病毒就全部清理完成。不放心可以用下殺毒軟件做個(gè)全盤(pán)掃描一下。

六、代碼分析（googleupdate.a3x）。

這部分摘抄自 紅黑聯(lián)盟，網(wǎng)址http://www.2cto.com/News/201409/339162.html

代碼總共接近3300行，前1300行左右像是復(fù)制了一個(gè)通用代碼。

里面有大量的常量的聲明，封裝了大量的WinAPI和GDI函數(shù)，并定義了大量的字符串、數(shù)組操作函數(shù)，甚至有限制鼠標(biāo)活動(dòng)范圍的函數(shù)。

但這些預(yù)定義好的常量和函數(shù)后面用到的卻很少。可能是出于作者習(xí)慣，每個(gè)腳本都要帶上這段通用代碼方便隨時(shí)調(diào)用。

中間1582行是在拼一個(gè)很大的變量，內(nèi)容是用base64編碼過(guò)的

?

解開(kāi)之后是一個(gè)不明身份的小帥哥照片。看照片信息是用三星Galaxy S4手機(jī)(GT-i9500)拍攝的，并經(jīng)過(guò)PS處理，但沒(méi)找到GPS左邊或其他有用的信息，無(wú)法推斷這人是誰(shuí)……并且病毒執(zhí)行后也沒(méi)有調(diào)用這段數(shù)據(jù)，完全是一段垃圾數(shù)據(jù)。

?

只有最后的400行是真正的病毒代碼。這部分代碼主要做了四部分的工作：

一、 檢查自身運(yùn)行環(huán)境

二、 創(chuàng)建開(kāi)機(jī)自啟動(dòng)

三、 感染全部磁盤(pán)

四、 駐留內(nèi)存并與服務(wù)器通信實(shí)現(xiàn)遠(yuǎn)程控制

【檢查自身運(yùn)行環(huán)境】

1. 檢查自身是否存在于“c:\google”目錄下，或目錄中是否包含“skypee”字樣，如果都沒(méi)有則退出

2. 通過(guò)創(chuàng)建互斥量“googleupdate”檢查自身是否已經(jīng)運(yùn)行，如果已經(jīng)運(yùn)行則退出，不重復(fù)運(yùn)行

3. 檢查自身是否處于被分析的環(huán)境中，如果認(rèn)定自己處于被分析的環(huán)境則退出。檢查邏輯如下表(字符串檢測(cè)均不區(qū)分大小寫(xiě))：

4. 檢查自身是否在“c:\google”目錄下，若不在，則將自身當(dāng)前所在目錄復(fù)制為“c:\google”，同時(shí)將目錄設(shè)置為只讀/系統(tǒng)/隱藏屬性，啟動(dòng)新目錄下的病毒腳本，并退出自身。

?【創(chuàng)建開(kāi)機(jī)自啟動(dòng)】

手法比較常規(guī)，就是寫(xiě)注冊(cè)表的run項(xiàng)和向“啟動(dòng)”目錄添加快捷方式：

1. 注冊(cè)表run項(xiàng)

?

2. 向“啟動(dòng)”文件夾寫(xiě)入快捷方式

?

【感染全部磁盤(pán)】

1. 檢測(cè)注冊(cè)表值，設(shè)置為不顯示系統(tǒng)SuperHidden的文件：

2. 遍歷本地磁盤(pán)，在每個(gè)盤(pán)符下作如下操作：

a) 在當(dāng)前盤(pán)符根目錄下新建名為“skypee”的目錄。并將autoit3.exe和病毒腳本復(fù)制到該目錄下。并將該目錄屬性設(shè)置為“只讀/系統(tǒng)/隱藏”

b) 遍歷當(dāng)前盤(pán)符根目錄下所有文件夾，在每個(gè)文件夾下，創(chuàng)建一個(gè)與該文件夾同名的快捷方式文件。快捷方式指向a步驟中創(chuàng)建的病毒。并將快捷方式圖標(biāo)設(shè)置為文件夾圖標(biāo)

c) 如果當(dāng)前盤(pán)符屬性為“removable”(最常見(jiàn)的是U盤(pán))，則會(huì)在盤(pán)符根目錄下額外創(chuàng)建如下名稱(chēng)的快捷方式，指向a步驟中的病毒復(fù)制體，并將快捷方式圖標(biāo)設(shè)置為文件夾：

my games

mypictuers

my videos

hot

downloads

movies

【遠(yuǎn)程控制】

腳本在完成上述操作之后，會(huì)利用一個(gè)死循環(huán)代碼常駐系統(tǒng)內(nèi)存，并與遠(yuǎn)端服務(wù)器通信實(shí)現(xiàn)遠(yuǎn)程控制。

1. 首先會(huì)循環(huán)嘗試解析服務(wù)器列表中的所有域名，一旦解析成功則使用這個(gè)解析成功的域名作為連接地址，跳出這個(gè)嘗試循環(huán)。不過(guò)腳本本身只在列表中填了一個(gè)域名：superyou.zapto.org

2. 進(jìn)入常駐內(nèi)存的遠(yuǎn)控死循環(huán)，連通遠(yuǎn)程服務(wù)器的95端口。成功后，會(huì)先將本地的機(jī)器名、用戶(hù)名、所在國(guó)家、系統(tǒng)版本、當(dāng)前存在的安全軟件等信息發(fā)送出去。然后等待遠(yuǎn)端指令進(jìn)行進(jìn)一步操作。接受的指令如下：

由于腳本本身特性所致，很容易被編輯修改。所以分析人員將遠(yuǎn)控的控制服務(wù)器稍作修改，就在自己的機(jī)器中實(shí)現(xiàn)了對(duì)虛擬機(jī)內(nèi)腳本的控制。

此篇博客本人新浪博客地址：http://blog.sina.com.cn/s/blog_9d62d0a50102w0v7.html

總結(jié)

以上是生活随笔為你收集整理的手动查杀skypee病毒（AutoIt3木马）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。