wupdmgr.exe_360fileassoc.exe_mplayer2什么意思(5)

图44：U盘上写入的病毒文件及被隐藏的U盘数据

我们打开那个类似U盘图标的文件夹，如图45所示，所有的U盘数据都在这里。

图45：类似U盘图标下的所有U盘数据

接下来将U盘上病毒写入的病毒文件删除，右键选中U盘上病毒写入的文件点删除即可，如图46所示。

图46：删除U盘上病毒文件

删除之后就剩下了那个类似U盘图标的文件夹，如图47所示，这里可是有我们U盘上的数据，不能删除。如何恢复正常的U盘呢？重新插拔一下U盘即可，如图48所示。至此，我们手动完成了处理这个病毒。

图47：剩余的类似U盘图标的文件夹

图48：重新插拔U盘后，U盘恢复正常

瑞星V16+对病毒预防的方法

来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析，病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则，添加一条文件访问规则，监控任何程序访问或修改c:\windows\system32\wupdmgr.exe时都给予提示，如图49所示。

图49：瑞星v16+添加文件访问规则，监控c:\windows\system32\wupdmgr.exe

还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消，如图50所示。

图50：取消系统加固默认优化选项

再跑一下这个病毒样本，跑样本前关闭瑞星文件监控，过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:\windows\system32\wupdmgr.exe，如图51所示。

图51：系统加固拦截到可疑程序打开c:\windows\system32\wupdmgr.exe

从图51来看，重新运行了病毒样本，该病毒样本在系统临时目录下，创建32位随机命名的com病毒文件。wupdmgr.exe来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe，如图52所示，果然在C:\ATI写入了病毒文件Catalyst.exe，说明病毒已经跑起来了。

图52：再次运行病毒样本，在C:\ATI写入病毒文件Catalyst.exe

图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。

图52-1：写入系统临时文件夹的32位随机com病毒文件

图52和图52-1都充分说明病毒已经跑起来了，在瑞星V16+系统加固拦截到病毒样本试图打开c:\windows\system32\wupdmgr.exe，注意系统加固默认是阻止，在我们不选择处理方式后，系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里，没有wupdmgr.exe，如图53所示。

图53：当前进程列表没有wupdmgr.exe

继续查看启动项，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run也没有被写入可疑启动项，如图54所示。

图54：xuetr显示无可疑启动项

插入U盘到染毒环境再测试一下，看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示，插入U盘后一切正常，说明设置的规则能成功拦截该样本。

图55：插入U盘到染毒环境，U盘一切正常

剩下的就好办了，手动删除掉病毒创建的两个无用的病毒样本即可，如图56所示。

图56：回收站里被删除的两个无用的病毒样本

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-21832-5.html