得到这个病毒事出偶然,是同学让我帮忙分析的。(转载)
拿到病毒之后发现一个很有趣的现象:将doc(word)文件变成了.exe可执行文件。后来才知道,这个病毒就是所谓的sola病毒。
这个病毒的作者无疑,是个bt,因为它,就因为广电的一纸通告,他把罪恶的手伸向了广大的普通计算机用户—-这种恶作剧是不可饶恕的!由于它,会造成很大损失——公司、学生、政府……文件、毕业设计、公文全部会被感染并删除……恢复的可能性很小,虽然病毒会备份一份word文件。
现在分析这个病毒:
病毒的特征是将word文档用rar压缩成了exe文件,并把原word文档和病毒文件打包在这个文件内,病毒体文件为Function.dll——其实也是个rar文件,可重命名为rar文件之后解压,其下的文件为:
┣doc 建立时间:2008-6-9 7:18:56
┃ ┣Function.rar 建立时间:2008-6-9 7:18:56
┃ ┣Function\ 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Autorun.inf 建立时间:2008-6-9 7:19:12
┃ ┃ ┣docpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣EJPack.txt 建立时间:2008-6-9 7:19:12
┃ ┃ ┣exepack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣infect.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣jpgpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣KillSelf.VBS 建立时间:2008-6-9 7:41:51
┃ ┃ ┣KillVirus.TXT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣LocalScan.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Rar.exe 建立时间:2008-6-9 7:19:12
┃ ┃ ┣readlnk.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣RecentInf.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣scan.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣sleep.exe 建立时间:2008-6-9 7:19:12
┃ ┃ ┣SOLA.BAT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣SolaKiller.rar 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Tasks.xxx 建立时间:2008-6-9 7:19:12
┃ ┃ ┣TDPack.txt 建立时间:2008-6-9 7:19:12
┃ ┃ ┣TENBATSU.BAT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣txtpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃
从中可以看出,病毒会对doc,jpg,txt文件进行操作,其实,操作方式全部为调用win的shell。
看来作者对dos及xp下的命令行相当的熟悉……
病毒作者有点良心。他采用煽情问答的方式来对你考验,如果你没有通过,那么,病毒继续肆虐,通过了,会在五分钟后自动删除病毒本体(未证实,我的虚拟机没有装好呢……)
其提出的问题及答案为以下所述:
—————-问题1———————(注:一共有5个问题。只要答对两个或两个以上就过关。)
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。
请问这个社团叫什么团?(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
sos
—————-问题2———————
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
air
—————问题3———————
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。
请问这部作品的名称的前4个英文字母是什么?
如果无法回答,请输入next,跳转到下一个问题。
fate
—————-问题4———————
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。
请问A的汉语拼音字母是(8个字母)
如果无法回答,请输入next,跳转到下一个问题。
qiangwei
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。
这部作品名称中有3个英文字母,请问这3个英文字母是?
如果无法回答,请输入next,跳转到计分程序。
ufo
—————-问题1———————(注:一共有5个问题。只要答对两个或两个以上就过关。)
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。
请问这部作品的名称是?(8个英文字母。)
如果无法回答,请输入next,跳转到下一个问题。
narcissu
—————-问题2———————
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
air
—————-问题3———————
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。
请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
shaye
—————-问题4———————
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。
echo 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
jiaoxiangyue
—————-问题5———————
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。
这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)
如果无法回答,请输入next,跳转到计分程序。
xingzhimeng
以下附解决方法:
最简单的办法,下载专杀:(关键字 doc exe 专杀 sola病毒专杀 sola专杀)
www.fs2you.com/files/6601b6ae-36d5-11dd-9b44-0014221f4662/
有兴趣了解这个病毒往下读:
方法一、根据上篇文章中的分析,触发利用c:\windows\\Fonts\HIDESE~1\TENBATSU.BAT回答问题,然后让他给你杀掉……
最新发现这个文件会在你下次启动计算机时出现……(复制到了启动文件夹)
问题及答案为:
—————-问题1———————(注:一共有5个问题。只要答对两个或两个以上就过关。)
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。
请问这个社团叫什么团?(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
sos
—————-问题2———————
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
air
—————问题3———————
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。
请问这部作品的名称的前4个英文字母是什么?
如果无法回答,请输入next,跳转到下一个问题。
fate
—————-问题4———————
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。
请问A的汉语拼音字母是(8个字母)
如果无法回答,请输入next,跳转到下一个问题。
qiangwei
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。
这部作品名称中有3个英文字母,请问这3个英文字母是?
如果无法回答,请输入next,跳转到计分程序。
ufo
—————-问题1———————(注:一共有5个问题。只要答对两个或两个以上就过关。)
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。
请问这部作品的名称是?(8个英文字母。)
如果无法回答,请输入next,跳转到下一个问题。
narcissu
—————-问题2———————
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
air
—————-问题3———————
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。
请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
shaye
—————-问题4———————
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。
echo 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
jiaoxiangyue
—————-问题5———————
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。
这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)
如果无法回答,请输入next,跳转到计分程序。
xingzhimeng
————————————————————————————
哈哈~做个小白鼠。
方法二、最简单,利用作者自己的杀毒程序进行杀毒,需要专杀的给我发email吧~我给你发过去。我还没有知道地方放它~
或者自己把那个文件分离出来——SolaKiller.rar
解压密码:kakenhi200601
密码是从SOLA.BAT中得到的……暴力破解的话估计要三天三夜了……代码为:
:KillVirus
copy %setup%\KillVirus.txt %sola%\KillVirus.txt
C:
cd\
md ~Install
cd ~Install
rar x -hpkakenhi200601 %setup%\SolaKiller.rar
mshta “javascript:new ActiveXObject(‘WScript.Shell’).Run(‘C:\\~Install\\Install.bat %%1’,0);window.close()”
rd /s /q %setup%
attrib %systemroot%\Tasks\Tasks.job -s -h -r
del %systemroot%\Tasks\Tasks.job
cd “%ALLUSERSPROFILE%\「开始」菜单\程序\启动”
if exist sola.vbs del sola.vbs
if exist tenbatsu.vbs del tenbatsu.vbs
start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt
del %sola%\sola.bat
Exit
-hp后跟密码
解压后运行文件如下:
┣SolaKiller\ 建立时间:2008-6-9 9:39:16
┃ ┣Install.bat 建立时间:2008-6-9 9:39:28
┃ ┣ToProgram\ 建立时间:2008-6-9 9:39:28
┃ ┃ ┣GUICheck.bat 建立时间:2008-6-9 9:39:28
┃ ┃ ┣SolaKiller.bat 建立时间:2008-6-9 9:39:28
┃ ┣ToSystem32\ 建立时间:2008-6-9 9:39:28
┃ ┃ ┣CMDCheck.bat 建立时间:2008-6-9 9:39:28
┃ ┃ ┣SLAData.dll 建立时间:2008-6-9 9:39:28
┃ ┃ ┣SOLAADDRESS.TXT 建立时间:2008-6-9 9:39:28
┃ ┃ ┣SolaScan.bat 建立时间:2008-6-9 9:39:28
运行install.bat
开始——运行——sola病毒专杀——SolaKiller.bat
如果提示缺少rar.exe和sleep.exe(呵呵~让我想起来了linux),就拷贝这两个文件到c:\windows\system32下。
如果用以下办法杀毒之后发现原来的doc打开均为乱码,(word里会提示 This program must be run under win32),则将这个文档的扩展名doc改名为rar,单击右键解压,然后打开文件夹之后会找到所需要的doc文件,记得把剩下的几个隐藏文件删除。
原因:病毒把自己压缩了两次。
=====================================================================
一、找到感染的病毒文件(doc-》exe)
二、安装winrar解压缩软件
三、解压这个exe,可看到function.dll及被改名的doc文件,设置隐藏文件可见,把解压后的function.dll的扩展名改为.rar,解压
四、进入解压后的文件夹(function),解压solakiller.rar 解压密码 kakenhi200601
五、进入solakiller文件夹,运行install.bat
六、开始-运行-sola病毒专杀-solakiller.bat