应该很多人都中过这样一个病毒,它是从U盘中毒的,中毒后的电脑文件夹都变成了exe格式,真正的文件夹都被隐藏掉了(如果隐藏了文件后缀名,根本看不出来文件夹是假的)。

这个病毒其实是一类病毒,有很多个修改版本,而kissme病毒(传奇天使病毒)是一个典型的例子。

@1.kissme病毒描述:

病毒在运行时,进程里有kissme.exe和kiss.exe,并且无法杀死这两个进程(这两个进程是互相保护的,单独杀死一个将没有足够权限)

症状有:复制自身并伪装成文件夹,隐藏原有的文件(狸猫换太子的招数); kiss.exe 有时占用CPU达100% ;关机或重启时死机;服务项和启动项里没有;360和任务管理器都结束不了进程,也打不开所在目录,提示连接到系统上的设备没有发挥作用。

@2.这个病毒背后都干了什么:

这个病毒最初是被设计出来专门盗取传奇账号的。不过由于这个病毒是个老病毒了,目前它也只能是拿用户文件夹捣捣乱了,盗号的事基本上没有环境让它干了。

病毒要起作用,首先就要被启动,而它却不添加开机启动项、服务项,在Startup目录里也没有。它使用了更高明的一种办法:

在HKEY_LOCAL_MACHINE\Software\Classes\Exefile\Shell\Open\Command 添加键值 " 默认 "="%windir%winker.exe" 从而达到随系统启动的目的。

总之注册表还是要改的。

当你的电脑插入有毒U盘时,在打开里面的文件夹时,如果一不小心打开了里面的“文件夹”(已经被病毒替换成了exe),病毒就被启动了,然后它就会按上面的方法给自己添加一个随开机启动的途径。然后你的电脑里就会一直有kiss.exe和kissme.exe两个病毒进程了。只要这两个进程存在,只要你打开一个文件夹,它就会在背后把那个夹隐藏掉并且把自己的一份拷贝伪装成那个文件夹。

同时这个病毒为了使自己不容易被发现,会强制禁用掉“文件夹选项”里的“显示隐藏文件”和“显示已知文件扩展名”两个选项(如果显示隐藏文件或显示已知文件扩展名),用户将很容易发现自己的文件有问题,而隐藏掉,有利于病毒隐蔽。

@3.清除程序:

这个病毒在系统里存在一段时间后,会发现电脑里到处都是病毒文件,那些长得像文件夹的exe文件,如果手动清除显然不现实。

但是这些文件都有一个特点,后缀名为".exe"并且大小为 1100083 bytes,我们写一个简单的程序遍历所有文件夹,并且按这两个特点删除文件就行了。(其它文件满足这两个条件的概率很小)

import osvirSize = 1100083walkObj = os.walk(os.getcwd(), False)for root, dirs, files in walkObj:for name in files:if name[-4:] == '.exe':fullpath = os.path.join(root, name)size = os.path.getsize(fullpath)if size == virSize:os.remove(fullpath)print fullpath

将这段python脚本放到各个盘的根目录运行一次,就能删除掉所有病毒文件。但已经被感染的电脑经常是kiss.exe及kissme.exe已经在运行,删除掉的文件会很快被病毒恢复。为了保证在使用这个脚本时能够删除干净,应当重启进入安全模式,保证进程里没有kiss.exe及kissme.exe。

由于病毒修改了注册表,用户真正的文件显示不出来,所以还要进行注册表修复:

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

将这段代码保存为一个.reg文件,导入注册表就把隐藏文件的问题修复了。重启后把所有被病毒隐藏掉的文件夹去掉隐藏属性就问题就解决了。

kissme病毒原理描述及python清除脚本相关推荐

  1. kissme病毒解决办法(非原创)

    kissme病毒解决办法(非原创) 几周前发现自己的回收站会莫名奇妙的被清空,在使用软件导入一些文件的时候也会出现找不到的情况,昨天发现一些文件夹莫名其妙变成了exe格式,D盘里一个名为qqpet的文 ...

  2. python自动化脚本是什么意思_Python 自动化脚本学习(一)

    Python 基础 命令行:在http://www.python.org安装python3,Mac下输入python3进入命令行 整数,浮点数,字符串类型:-1,0.1,'game' 字符串连接和复制 ...

  3. 一般杀毒软件检测病毒原理

    一般杀毒软件检测病毒原理 2014年09月05日 ⁄ 综合 ⁄ 共 3171字 ⁄ 字号 小 中 大 ⁄ 评论关闭 常用的反病毒软件技术 特征码技术:基于对已知病毒分析.查解的反病毒技术 目前的大多数 ...

  4. python自动化办公脚本下载-python自动化脚本

    广告关闭 腾讯云双11爆品提前享,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高满返5000元! 运维自动化,已经成为运维必不可少的一部分,下面附上自己写的监控nginx_stat ...

  5. Appium环境的安装与配置,Python测试脚本测试

    Appium自动化测试系列1 - Appium环境的安装与配置 发表于4个月前(2015-01-27 14:34)   阅读(803) | 评论(0) 0人收藏此文章, 我要收藏 赞0 寻找 会'偷懒 ...

  6. [网络安全自学篇] 四十五.病毒详解及批处理病毒原理分析(自启动、修改密码、定时关机、蓝屏、进程关闭)

    这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了Windows远程桌面服务漏洞(CVE-2019-0708),并详细讲 ...

  7. python辅助脚本教程_微信跳一跳python辅助脚本实例分享

    本文主要为大家整理了关于微信跳一跳的辅助脚本内容,这次我们给大家整理的是关于python的脚本内容,一起来学习下. 这段时间微信跳一跳这个游戏非常火爆,但是上分又非常的难,对于程序员来说第一个念头就是 ...

  8. 便携式三星mysql_三星集团某站点MySQL盲注一枚(附python验证脚本)

    漏洞概要 缺陷编号:WooYun-2014-082219 漏洞标题:三星集团某站点MySQL盲注一枚(附python验证脚本) 相关厂商:三星集团 漏洞作者:lijiejie 提交时间:2014-11 ...

  9. python运维脚本部署jdk_Jenkins 为Jenkins添加Windows Slave远程执行python项目脚本

    测试环境 JAVA JDK 1.7.0_13 (jdk-7u13-windows-i586.exe) Jenkins Win764未 python项目环境 实践操作 1.新建与配置结点 [系统管理]- ...

最新文章

  1. jmi,mof,cwm
  2. 团队编程项目作业5-小组评分
  3. netty:IO模型
  4. Codeforces Hello 2019 D. Makoto and a Blackboard[DP+数论+概率期望]
  5. Python面试中需要注意的几点事项!
  6. mysql 主键索引如何创建_SQL创建索引、主键
  7. 0基础python入门书籍 excel_零基础学Python3(23):Excel 基础操作(上)
  8. java获取结果集_Java-如何获取结果集上的列名
  9. python -图例设置
  10. 把一个byte高低位进行交换
  11. halcon自带的案例学习
  12. 微信/支付宝网页扫码授权
  13. Linux——MySQL安装及配置环境变量
  14. ~4.2 ccf 2021-12-1 序列查询
  15. Vue.js全家桶仿哔哩哔哩动画 (移动端APP)
  16. 我的QQ密保卡,不许偷看哦
  17. 钉钉dd.ready中不能调用方法解决,钉钉微应用遇到的坑
  18. 计算机二级 sql,全国计算机二级(vf)sql命令
  19. Java读取Excel中的图片,并保存
  20. 查看系统web服务器配置,web服务器配置

热门文章

  1. 中国大数据金融中心崛起:贵州落子大数据
  2. 钉钉,腾讯会议中使用虚拟人物形象上网课
  3. DC / DC boost电路带闭环控制
  4. 【WEB】HTML标签自带属性title样式修改
  5. 【电源专题】为什么开关电源中使用脉冲频率调制(PFM)轻载效率会更高?
  6. WPP Software Tracing
  7. 光E电怎样让理财收益最大化
  8. win10黑色护眼风格一波带走
  9. [转贴]LINUX新手入门及安装配置FAQ
  10. 2020.1.13 C语言学习 结构体+结构体数组+结构体指针