kissme 바이러스 원리 설명 및 python 제거 스 크 립 트

많은 사람들 이 이러한 바이러스 에 걸 린 적 이 있 을 것 이다. 그것 은 U 디스크 에서 중독 되 었 고 중 독 된 컴퓨터 폴 더 는 모두 exe 형식 으로 바 뀌 었 으 며 진정한 폴 더 는 모두 숨겨 졌 다.
이 바 이러 스 는 사실 일종 의 바이러스 로 여러 가지 수정 버 전이 있 는데 kissme 바이러스 (전설 적 인 천사 바이러스) 는 전형 적 인 예 이다.
@ 1. kissme 바이러스 설명:
바이러스 가 실 행 될 때 프로 세 스 에는 kissme. exe 와 kiss. exe 가 있 고 이 두 프로 세 스 를 죽 일 수 없습니다.
증상 은 자신 을 복사 하고 폴 더 로 위장 하여 원래 의 파일 을 숨 기 는 것 이다 (너구리 가 태 자 를 바 꾸 는 방법).kiss. exe 는 때때로 CPU 를 100% 차지 합 니 다.전원 을 끄 거나 다시 켤 때 전원 이 꺼 집 니 다.서비스 항목 과 시작 항목 에 없습니다.360 과 작업 관리자 가 프로 세 스 를 끝 낼 수 없고 디 렉 터 리 를 열 수 없 으 며 시스템 에 연 결 된 장치 가 역할 을 하지 않 았 음 을 알려 줍 니 다.
@ 2. 이 바이러스 뒤에 뭐 했 어 요?
이 바 이러 스 는 처음에 전설 적 인 계 정 을 훔 치기 위해 설계 되 었 다.그러나 이 바 이러 스 는 오래된 바이러스 이기 때문에 현재 사용자 폴 더 를 가지 고 소란 을 피 울 수 밖 에 없다. 번 호 를 훔 치 는 일 은 기본적으로 할 환경 이 없다.
바이러스 가 작용 하려 면 먼저 시작 되 어야 하 는데, 부팅 항목, 서비스 항목 을 추가 하지 않 고, Startup 디 렉 터 리 에 도 없다.그것 은 더욱 뛰어난 방법 을 사용 했다.
HKEY 에서LOCAL_MACHINE\Software\Classes\Exefile\Shell\Open\Command 키 값 "기본"= "% windir% winker. exe"를 추가 하여 시스템 이 시작 하 는 목적 을 달성 합 니 다. 
어쨌든 등록 표 는 고 쳐 야 돼.
컴퓨터 에 독이 있 는 USB 가 삽입 되 었 을 때, 안에 있 는 폴 더 를 열 었 을 때, 부주의 로 안에 있 는 '폴 더' (이미 바이러스 가 exe 로 바 뀌 었 다) 를 열 었 다 면, 바이러스 가 시 작 된 후에, 그것 은 위의 방법 에 따라 자신 에 게 랜 덤 으로 시작 하 는 경 로 를 추가 할 것 이다.그리고 당신 의 컴퓨터 에는 키스. exe 와 키스. exe 두 개의 바이러스 프로 세 스 가 계속 있 을 것 입 니 다.이 두 프로 세 스 가 존재 하기 만 하면 폴 더 를 열 면 뒤에서 그 폴 더 를 숨 기 고 자신의 복사 본 을 그 폴 더 로 위장 합 니 다.
또한 이 바 이러 스 는 자신 이 쉽게 발견 되 지 않도록 '폴 더 옵션' 의 '숨 김 파일 표시' 와 '알 고 있 는 파일 확장자 표시' 두 가지 옵션 (숨 김 파일 을 표시 하거나 알 고 있 는 파일 확장자 표시) 을 강제로 사용 하지 않 습 니 다. 사용 자 는 자신의 파일 에 문제 가 있 음 을 나타 내 고 숨 기 면 바이러스 은폐 에 유리 합 니 다.
@ 3. 프로그램 지우 기:
이 바 이러 스 는 시스템 에 한동안 존재 한 후에 컴퓨터 안에 바이러스 파일 이 곳곳에 있 는 것 을 발견 할 수 있다. 폴 더 처럼 생 긴 exe 파일 은 수 동 으로 제거 하면 분명 비 현실 적 이다.
그러나 이 파일 들 은 모두 하나의 특징 을 가지 고 있 습 니 다. 접 두 사 는 'exe' 이 고 크기 는 'exe' 입 니 다. 1100083 bytes, 우 리 는 간단 한 프로그램 을 써 서 모든 폴 더 를 옮 겨 다 니 며 이 두 가지 특징 에 따라 파일 을 삭제 하면 됩 니 다.(다른 파일 은 이 두 가지 조건 을 만족 시 킬 확률 이 적다)

import os

virSize = 1100083

walkObj = os.walk(os.getcwd(), False)

for root, dirs, files in walkObj:
    for name in files:
        if name[-4:] == '.exe':
            fullpath = os.path.join(root, name)
            size = os.path.getsize(fullpath)
            if size == virSize:
                os.remove(fullpath)
                print fullpath

이 python 스 크 립 트 를 각 디스크 의 루트 디 렉 터 리 에 한 번 실행 하면 모든 바이러스 파일 을 삭제 할 수 있 습 니 다.그러나 이미 감 염 된 컴퓨터 는 항상 kiss. exe 및 kissme. exe 가 실행 되 고 있 으 며, 삭 제 된 파일 은 곧 바이러스 에 의 해 회복 된다.이 스 크 립 트 를 사용 할 때 깨끗하게 삭제 할 수 있 도록 보안 모드 로 다시 시작 해 야 합 니 다. 프로 세 스 에 kiss. exe 및 kissme. exe 가 없 도록 해 야 합 니 다.
바이러스 가 등록 표를 수 정 했 기 때문에 사용자 의 진정한 파일 이 표시 되 지 않 기 때문에 등록 표를 복원 해 야 한다.
4. 567913. 이 코드 를 'reg 파일' 로 저장 하고 레 지 스 트 를 가 져 오 면 숨겨 진 파일 의 문 제 를 복원 합 니 다.재 부팅 후 바이러스 에 의 해 숨겨 진 모든 폴 더 를 숨겨 진 속성 을 제거 하면 문제 가 해 결 됩 니 다.