wupdmgr.exe_360fileassoc.exe_mplayer2什么意思(4)

图28：Processmonitor显示的wupdmgr.exe的pid为2000

接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项，如何设置过滤规则就不详细讲解了，看过我们之前的文章，相信大家应该掌握了。如图29所示，我们添加三条过滤规则。

图29：设置过滤规则

设置好规则后，我们看到在插入U盘（盘符为E:），wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db，如图30所示。

图30：wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db

同时还修改系统注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced的ShowSuperHidden和Hidden的值，如图31所示，图32、33所示的是修改的具体键值数据。

图31：wupdmgr.exe修改注册表值

图32：修改ShowSuperHidden值为0，勾选隐藏受保护的操作系统文件（推荐）

图33：修改Hidden值为2，勾选不显示隐藏的文件和文件夹

这样修改后，我们就无法查看系统隐藏的文件，其目的就是隐藏U盘上的数据，使我们无法查看到，因为病毒将U盘的文件都设置了隐藏属性，同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini，如图34所示。

图34：wupdmgr.exe写入病毒文件~%YZUAWLLH.ini

写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同，但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式，如图35所示。

图35：wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式

右键查看U盘上lnk快捷方式的属性，发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini，手法和我们的本例讲解的病毒样本一致，如图36所示。

图36：U盘上lnk快捷方式属性

病毒处理

以上是病毒样本的行为分析，接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理，如图37所示，使用xuetr先结束进程wupdmgr.exe，之后再删除病毒样本写入的启动项及文件，如图38所示。

图37：结束wupdmgr.exe进程

图38：删除病毒写入的启动项47801及对应文件

之后还要删除在C盘根目录下创建的ATI文件夹，如图39所示。

图39：删除病毒写入的ATI文件夹

接下来恢复病毒样本修改的注册表项，如图40所示，使用xuetr注册表定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced，将ShowSuperHidden的值修改为正常1，如图41所示。

图40：恢复病毒修改的ShowSuperHidden的注册表值

图41：修改ShowSuperHidden正常键值为1

如图42及图43所示，使用xuetr工具恢复病毒修改的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden注册表值。

图42：恢复病毒修改的Hidden的注册表值

图43：修改Hidden正常的键值为1

注册表项修改为正常值后，我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件，如图44所示。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-21832-4.html