这个东西我在电脑里面有好几个月了没时间理它,从双十一到双十二这段时间在桌面创建的快捷方式越来越多,最开始是3个,后来编程6个。这些快捷方式都是淘宝客的链接,最近实在忍不了了,决定处理一下。我的目的很简单,先把这个驱动复制出来分析分析,然后再杀毒。
用PChunter 查看发现了一个奇怪的驱动
注册了进程回调,加载映像回调,关机回调。
还有文件过滤驱动
所以我用PChunter里面的文件功能把这个8gu72p.SYS复制出来想分析一下,发现复制不出来就是这个文件过滤驱动搞得鬼。
后来查资料得知,这种开机运行起来之后删除文件关机的时候再回写的驱动文件,可以通过U盘PE里面复制出来的。
链接: https://pan.baidu.com/s/1U0VXD8_-A_WUNzr8Q50laA 提取码: k68j
链接: https://pan.baidu.com/s/1H0MXKLgIKIeDCn_8kcQTlg 提取码: x9ua
我把提取出来的样本放在百度网盘里面了。
待续。。。