¿Qué hace exactamente el programa malicioso falso linkinfo para eliminarlo por completo?

Ofrecemos 3 soluciones, ¡te deseamos mucha suerte! (Los detalles sobre los virus se darán más adelante)

Método 1:

Actualice el micropunto, reinicie y use micropoint para eliminar en modo seguro. Si eso aún no funciona, prueba el método manual a continuación.

Descargar un System Repaire Engineer (SRE) 2.4.12.806:/zsgj/MagistrKiller.exe

Descripción del virus:

virus linkinfo.dll-"Ma Worm .Magistr” herramienta para matar virus

Herramienta para matar virus “Worm.Magistr”

Nombre de la herramienta: “Worm.Magistr)" herramienta para matar virus

Versión del software: 1.0

Tamaño del software: 320 KB

Plataforma de aplicación: plataforma Windows

Hora de actualización: 2007-06-12

Hora de lanzamiento: 2007 -06-12

Empresa editorial: Beijing Rising Technology Co., Ltd.

Descarga gratuita: descarga local (he incluido la dirección de descarga arriba)

Descripción del software

Nombre del virus: Worm.Magistr.g

El virus es un virus infeccioso escrito en lenguaje C. Infecta un programa ejecutable PE de 32 bits con el nombre de sufijo EXE. y el tamaño de la fuente del virus es 40 KB.

El archivo fuente del virus es boot.exe, que el usuario extrae del disco U.

Proceso del archivo fuente del virus:

Después de ejecutar boot.exe, verifique si está en el directorio raíz de la unidad. Si no, salga.

Compruebe si existe "C:\WINNT\linkinfo.dll" y cree el archivo si no existe.

Compruebe si el archivo del controlador existe. Si no existe, genere el archivo del controlador %SystemRoot%\system32\drivers\IsDrv118.sys (elimine después de cargarlo) y llame a ZwSetSystemInformation para cargar el controlador.

Cargue el dll y luego busque la función exportada con el número de serie 101 llamada por el virus.

Proceso de la DLL:

Cuando se carga la DLL:

1 Obtenga la dirección de la función SfcIsFileProtected en el sfc.dll del sistema para poder llamarla durante. Infección para prevenir la infección de archivos protegidos por el sistema.

2. Obtenga las siguientes funciones exportadas del linkinfo.dll del sistema (en el directorio %system32%) y haga que las funciones exportadas del mismo nombre apunten a las funciones correctas en el linkinfo.dll normal, de modo que que estas funciones puedan transferirse.

ResolveLinkInfoW

ResolveLinkInfoA

IsValidLinkInfo

GetLinkInfoData

GetCanonicalPathInfoW

GetCanonicalPathInfoA

p>

DisconnectLinkInfo

DestroyLinkInfo

CreateLinkInfoW

CreateLinkInfoA

CompareLinkInfoVolumes

CompareLinkInfoReferents

3. Compruebe si está en el proceso explorer.exe. Si no, inicie el hilo principal del virus.

4. Inicie el hilo principal del virus

El virus primero verifica si se está ejecutando en VMWare a través del comando de puerta trasera de VMWare. Si es así, reinicia directamente la máquina para evitarlo. de ser detectado en la ejecución de la máquina virtual.

Genere un mutex llamado "PNP#DMUTEX#1#DL5" para garantizar que solo se esté ejecutando una instancia.

Luego inicie cada hilo de trabajo

5. Hilo de trabajo 1 (generar ventana y bucle de mensajes)

Generar una ventana oculta y un bucle de mensajes, y llamar a los registros RegisterDeviceNotificationA. Mensajes de notificación del dispositivo. Cuando se encuentra un disco extraíble insertado, el origen del virus boot.exe se escribe en el disco extraíble.

6. Hilo de trabajo 2 (recorre e infecta todos los discos)

Infecta archivos con el sufijo "exe" en todos los discos comenzando desde "C:\".

Cuando el virus está infectado, no infecta los archivos de programa en los directorios "QQ", "winnt" y "windows", y verifica si es un archivo del sistema llamando a SfcIsFileProtected. no está infectado.

Al mismo tiempo, el virus no infecta los siguientes programas:

wooolcfg.exe

woool.exe

ztconfig. exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2. exe

Viaje hacia el oeste.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain .exe

meteor.exe

patcher.exe

mjonline.exe

config.exe

zuonline .exe

userpic.exe

main.exe

dk2.exe

autoupdate.exe

dbfsupdate .exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb -service.exe

p>

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts .exe

gc.exe

zfs.exe

neuz.exe

maplestory.exe

nsstarter .exe

nmcosrv.exe

ca.exe

nmservice.exe

kartrider.exe

audition .exe

zhengtu.exe

7. Hilo de trabajo 3 (prohibir otros virus, destruir Kaka Assistant e infectar la red)

Enumere los procesos, si el proceso El nombre del archivo del programa (incluido el directorio) es el siguiente programa (programa de virus común), que finalizará el proceso

realschd.exe

cmdbcs.exe

wsvbs .exe

msdccrt.exe

run1132.exe

sysload3.exe

tempicon.exe

sysbmw .exe

rpcs.exe

msvce32.exe

rundl132.exe

svhost32.exe

smss .exe

lsass.exe

internat.exe

explorer.exe

ctmontv.exe

iexplore .exe

ncscv32.exe

spo0lsv.exe

wdfmgr32.exe

upxdnd.exe

ssopure .exe

iexpl0re.exe

c0nime.exe

svch0st.exe

nvscv32.exe

spoclsv .exe

joder

cks.exe

logo_1.exe

logo1_.exe

lying.exe

sxs.exe

El virus modifica la entrada "%system32%\drivers\RsBoot.sys" del controlador Kaka Assistant, lo que provoca que el controlador no se cargue.

Enumere los recursos de la red e intente infectar archivos en los recursos de la red.

Enumere e intente escribir un archivo fuente de virus llamado "setup.exe" en las carpetas compartidas ocultas "%s\\IPC$", "C$", etc. en la computadora en la LAN. utilice "Administrador" como nombre de usuario cuando intente conectarse e intente utilizar la siguiente contraseña.

contraseña1

mono

contraseña

abc123

qwerty

letmein

p>

déjame entrar

p>

root

mypass123

propietario

test123

Me encanta

admin123

qwer

!@#$%^&*()

!@#$%^&*(

!@#$%^ &*

!@#$%^&

!@#$%^

! @#$%

asdfgh

asdf

!@#$

654321

123456789

12345

admin

8. Hilo de trabajo 4 (modificar el archivo host y descargarlo)

Hacer una copia de seguridad del archivo host como host.txt y descargarlo. el archivo en su lugar

Busque el archivo html del sistema. El programa asociado se inicia e inyecta el dll para pasar a través de la intercepción del firewall

Intente conectarse a la siguiente dirección y descargue el archivo

p>

372*****rg/c.asp

37****rg/top.dat

9. Hilo de trabajo 5 (monitorear y prohibir otros). virus)

Obtenga el proceso recién generado llamando al controlador. Si el archivo del proceso es el programa especificado (consulte el hilo de trabajo 3), finalice el proceso

Controlador:

Después de cargar el controlador, primero se conecta reemplazando la dirección de la función en SDT

ZwSaveKey

ZwQueryDirectoryFile

ZwClose

ZwEnumerateKey

ZwLoadDriver

...

Espere a que las API protejan las claves de registro de virus para que no sean descubiertas y modificadas, oculten archivos de virus (boot.exe, linkinfo.dll, nvmini.sys, etc.),

y prohibir algún software de seguridad. Se carga el controlador

Luego, el controlador crea un dispositivo llamado DL5CProc. obtenga el ID del último proceso creado a través de ioctl = 25270860.

Este ID de proceso es. Obtenga la notificación llamando a PsSetCreateProcessNotifyRoutine.

El controlador también configurará la notificación de carga de imágenes a través de PsSetLoadImageNotifyRoutine, si el archivo de imagen cargado está en el siguiente subdirectorio:

COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32

Y llamado:

DLLWM.DLL

WININFO.RXK

RICHDLL.DLL

WINDHCP.DLL

DLLHOSTS.DLL

NOTEPAD.DLL

RPCS.DLL

RDIHOST.DLL

RDFHOST.DLL

RDSHOST.DLL

LGSYM.DLL

RUND11.DLL

MDDDSCCRT.DLL

WSVBS.DLL

CMDBCS.DLL

UPXDHND.DLL

Este controlador modificará la entrada del módulo modificando la memoria física, por lo que estos módulos devuelven un error y no se pueden cargar correctamente. Estas bibliotecas dinámicas son en su mayoría virus que roban contraseñas y bibliotecas dinámicas Worm.Viking, por lo que el sistema infectado por Magister no volverá a infectarse con estos virus.

Archivos infectados:

Cuando un virus infecta un archivo, aumentará la última sección del archivo original, escribirá el código del virus en la sección de código del archivo infectado y lo modificará. el punto de entrada para señalar el código de virus y guardar la dirección del punto de entrada original, y luego comprimir y guardar el código sobrescrito del archivo original, el virus dll y los archivos sys en el lugar ampliado en la última sección del archivo. Cuando se ejecuta el archivo infectado, primero se ejecuta el código del virus, se liberan y cargan C:\WINNT\linkinfo.dll y %SystemRoot%\system32\drivers\IsDrv118.sys, y luego se ejecuta la función número 101 de linkinfo.dll. llamado. El código del virus eventualmente restaurará el código sobrescrito del archivo original y volverá a la entrada del archivo original para comenzar a ejecutar el archivo original.

¡Buena suerte!