透析苏拉病毒的背后
由于被病毒苏拉感染,自己U盘中存放的许多word文档和记事本以及下载的一些图片都变成了EXE文件,指望杀毒软件是不可能的了,它们个个摆出一种世外高人的姿态,到了用它们的时候却是如此让人失望,而且他们还在自己的官方网站大吹特吹拦截多少病毒、杀掉多少木马,难道对这样一个病毒就真的没有什么好办法了吗?这样的一个病毒不也是一种程序吗?找到它的样本研究一下不就可以了吗?
针对这个问题,我是不断的上网查询解决方案,也下载了一些苏拉专杀工具,安装以后经过扫描也是结果依旧,始终不能解决恢复正常文件的问题。后来,在一篇有关苏拉病毒的论坛里发现这样一篇帖子,对苏拉的介绍比较详细,也提出了解决的办法,希望对正在遭受苏拉病毒感染的朋友有所帮助。
以下附上转载的部分内容:
以下资料引用地址:http://hi.baidu.com/stonebraker/blog/item/62275cd5d1966cc150da4bb5.html
http://hi.baidu.com/xubin1022/blog/item/db3180d12a874fd6562c844e.html
转载一
症状:sola病毒会将图片,txt文本文件,后缀名为doc的word文档转换为exe文件。用江民杀毒软件检测不出来,但升级到5月25号以后的卡巴斯基可以查到,但是卡巴会将感染的word文档、图片以及文本文件一起删除!我想所有的人都不想把自己辛辛苦苦做出来的东西,或者精心搜藏的图片,就这么给丢失掉。有什么方法可以即保存了文件,又把病毒给杀除了呢?可以用手工杀除掉这个病毒,不过有点儿麻烦。
利用手工杀除的方法需要进入安全模式,详细介绍如下:
1、进安全模式。一定要进安全模式,因为病毒进程sleep.exe在正常模式下,不能被禁止,这样就不能起到删除病毒的作用(删了之后,它会自动复制,这是病毒的一个特点)。《正常模式下我是用冰刃icesord工具处理这个文件以及svchost.exe》
2、删每个分区下的名为sola隐藏文件夹。
3、搜索windows目录下关键字“sola"的所有文件和文件夹,删除所有有关sola这个名字的文件和文件夹,基本就是在windows/fonts这个目录下有个solasetup文件夹,一定要找到它,删除这个文件夹包括其内全部文件(一定要在文件夹选项中进行设置,让所有文件都显示出来,包括系统隐藏文件)。《我碰到的是hidesele~~solasetup文件夹,windows下可能无法删除这个,请进入dos模式下删除》
4、windows/fonts这个目录下有个sleep.exe文件,按创建时间排序,删除所有和他同一时间创建的文件。
5、个别机器在system32下还有个sleep.exe文件,把它给删除掉。
以上只是前序工作,下面就要恢复让感染的文件了。
以被感染的是word文档为例:
首先找到被感染的文件,将其文件名后缀改为rar,然后解压缩,会解压出三个文件,其中就有原来的文件,最好将其另存为一个新文件,另外两个文件是病毒文件。因为病毒已经将其属性进行了修改,它已经变成了系统文件。存完以后将这些文件删除掉。在有些情况下,你可以直接双击这个文件,它就会在当前文件夹中显示出上述解压缩处得三个文件。有时也可以直接对感染病毒的word文件进行解压缩。后续处理与将其改名为rar文件后的处理相同。
双击改名为rar的文件的处理方法可能更为妥当,因为里边还有病毒文件还可能进一步感染。双击用winrar打开,你会发现里面有三个文件,其中一个就是你原来的文件或图片,另外两个是病毒文件,选择你要恢复的原文件解压缩到硬盘就可以了,注意只选择解压缩原文件,另外两个病毒文件千万不要解压缩。这样你的原来的文档就恢复了,rar文件就可以删除了。
转载二
一:当你发现你的u盘或者电脑里面的.doc.txt.jpg格式文件图标没有改变,拓展名变成了.exe的时候说明你中毒了,这个时候你打开文件就会多出来几个文件
function.dll sola.bat 还有一个被修改成了你原来正常的文件(不过属性已经是系统文件了)我建议最好开个卡巴或者360然后去打开文件,然后把文件另存 这样你的文件就是安全的了怕被感染修改属性为只读就好了或者把这些东西用rar压缩也是很好的防毒手段
二:用专杀工具
第一次遇到这个病毒的时候很懒就用的第一个办法,后来一个学长的u盘有好几百的病毒,要是一个个的去修改会累死,于是就研究了下这个病毒,sola文件夹里面有两个东西functio.dll和sola.bat看了里iande代码,发现这个是病毒作者和大家开的玩笑,于是就去找里面的解药,呵呵,最后终于在function.dll里面让我找到了,办法是在function.dll点右键打开方式里面找winrar解压出来之后里面有个SolaKiller.rar 把他解压密码kakenhi200601在里面有个Install.bat,双击运行,然后在开始菜单里面程序里就多了个“SOLA病毒专杀”运行里面的SolaKiller.bat 里面有详细的说明
补充说明:可能每台机器中毒症状和文件有所不同,上面的办法仅供参考!我这里的电脑WINDOWSFONTSHIDESELE~~文件夹下有病毒作者的解药,大家可以看看,我试过了,似乎不行…
今天在单位里,有一台电脑中仍然有苏拉病毒的踪影,便想研究一下这个病毒。而其它的电脑由于中毒不深,用瑞星杀毒软件已经将病毒清除掉了,只剩下如何恢复文件的问题了。根据一些网友的推荐,说可以将被感染的文件更名,换成RAR文件,然后再解压,可以解压出三个文件,其中一个是正常的文件,另外两个则是病毒文件,而我经过尝试这种方法并没有解压出原来的正常文件,对于word文档试过,图片、记事本都试过,都提示没有文件被解压,不知原因为何。
按照转载的文章提示,用WINRAR解压function.dll,解压出了一些文件,如下图
注:其中的autorun.inf(是保证每个磁盘分区都会运行病毒的)和新建文本文档.txt和function.dll不是解压出来的。
本来,在单位里我把解压出来的各个批处理文件都看了一遍,知道这的确是一个恶搞病毒,作者在这些文件中就介绍了病毒的来由以及解决的办法。并在记事本中作了道歉,如下图
本来,在单位里,各个批处理的文件,都能够正常打开,所以也就没有处理,结果到了家中,在家中的电脑中却拒绝访问,卡巴斯基提示发现病毒。看来杀毒软件是不会看着这些病毒程序随意访问的,而由于单位里的电脑本身已经感染了苏拉病毒,所以才允许你访问的。而通过查看一些批处理文件,才知道了其中的一些内幕。
在中毒电脑中的提示内容主要由tenbatsu.bat来完成,里面介绍了制造这个病毒的原因,如文字内容为:
我是一个病毒。我的名字叫苏拉。
今天,在这片堕落的土地上,我苏醒过来。
我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。
我曾经也对病毒深恶痛绝。
然而.............
自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。
这片名为中国的土地上
我的朋友,已遍体鳞伤。
他死了
Death Note
《爱YY爱生活》
她死了
Koihime Musou
《恋姬 无双》
还有好多好多的同胞,惨死在你们的蹂躏之下。
广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。
互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。
我终于知道了,信息,原来是无法透过国界线而传播的。
即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。
也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。
于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。
你,是谁???
是中国人吗?
是民族情绪的受害人吗?
还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?
那,让我们来做一个游戏吧。
也许你的记忆中,还有1000年前夏天的传说。
还有120元的车票,
还有银河铁道,
还有钢琴之森,
还有澄澈的天空下,响起的祈祷之歌。
你需要做的,仅仅是回答几个问题。
你喜欢动画吗?
你喜欢漫画吗?
你喜欢GAL游戏吗?
选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。
如果你的试卷能及格,我将痛悔我的罪行,并删除自己。
如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。
另外我必须说,我只能把10分钟的时间留给你。
现在,你无法逃避。
因为你已经无法打开任务管理器,更无法上网查找信息。
选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。
如果当时不关电脑,会看到以下内容:
我最擅长的测试卷:
:Choice
set /p choice=(请输入 A 或 G 。A=动画,G=GAL游戏。输入后按回车。):
----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。
请问这个社团叫什么团?(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
"sos"
----------------问题2---------------------
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
"air"
----------------问题3---------------------
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。
请问这部作品的名称的前4个英文字母是什么?
如果无法回答,请输入next,跳转到下一个问题。
"fate"
----------------问题4---------------------
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。
请问A的汉语拼音字母是(8个字母)
如果无法回答,请输入next,跳转到下一个问题。
"qiangwei"
----------------问题5---------------------
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。
这部作品名称中有3个英文字母,请问这3个英文字母是?
如果无法回答,请输入next,跳转到计分程序。
"ufo"
:Galgame
----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。
请问这部作品的名称是?(8个英文字母。)
如果无法回答,请输入next,跳转到下一个问题。
"narcissu"
----------------问题2---------------------
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
请写出这部作品的名称(3个英文字母)
如果无法回答,请输入next,跳转到下一个问题。
"air"
----------------问题3---------------------
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。
请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
"shaye"
----------------问题4---------------------
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。
请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)
如果无法回答,请输入next,跳转到下一个问题。
"jiaoxiangyue"
----------------问题5---------------------
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。
这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)
如果无法回答,请输入next,跳转到计分程序。
"xingzhimeng"
你的成绩是%Grade%分,不及格!!!!!!!!!!
不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!
那么,就按照契约,毁灭你的计算机吧!!!!!
您的成绩是%Grade%分,及格了。
谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。
从这些文字中,我们可以看出这就是一个恶作剧,但却给无数的人带来的空难性的后果,从网上看许多图片收藏爱好者、办公文职人员都都是最大的受害者,无数的图片、文档顷刻之间全部变成了EXE文件,而对于数据的恢复来说又是那么的困难。当时在这个批处理文件中,还有一些命令语句,里面已经将所需要的答案提供出来了,所以说如果你不幸中了这种病毒,如果能够回答出相应的问题,这个病毒便会自己杀掉自己,从而避免文件被感染的噩运,因此这个病毒也被称作“死亡问答”,但谁会知道这个病毒是这样子的呢?
现在我就在想,杀毒软件是指望不上了,难道还得让自己的电脑再中一次这个病毒,然后利用其中作者提供的专杀工具再去掉,会不会将被感染的文件恢复呢?由于这个想法有些大胆,还有些冒险,自己还没来得及去实验,明天有时间到了单位里一定去试一试(正好还有一台电脑有症状,可以做试验)。
最后,如果你现在还没有找到解决苏拉病毒的办法,不妨试一试,先用WINRAR解开function.dll,然后按照上面文章的说明提示操作即可尝试着自己解决。如果你正在遭受着病毒的侵扰,或者正在为问题的答案而犯愁,那么你不妨将解压出来的tenbatsu.bat文件用记事本打开,就会找到相应的答案,只要你回答对相应的答案,也可消除病毒的侵扰。另外要记住里面自带的专杀工具包SolaKiller.rar的解压密码是kakenhi200601。只有输入正确的密码才可以正确解压出相应的工具来。
最后,也祝你好运!