如何能彻底删除应用程序DLL劫持病毒?

Posted 2023-05-05

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了如何能彻底删除应用程序DLL劫持病毒?相关的知识，希望对你有一定的参考价值。

今天我用360顽固木马专杀大全杀出来一个病毒名称：应用程序DLL劫持路径c:\program Files\Rising\rav\update\we2help.dll 类别：木马
不知道是什么东西杀完了重启又出现了。请高手指点如果能彻底删除应用程序DLL劫持病毒。 O(∩_∩)O谢谢

您好

1，we2help.dll的确是DLL劫持程序中的可执行文件。

2，建议您到腾讯电脑管家官网下载一个电脑管家。

3，然后重启电脑按F8进入安全模式。

4，使用电脑管家——工具箱——顽固木马克星——勾选上深度扫描——然后把扫描到的木马病毒进行彻底清理删除即可。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

参考技术A 贝壳木马专杀是绿色软件，直接双击运行就可以了
我推荐贝壳专杀而不是360安全卫士
因为这完全是两个概念的安全辅助软件
360虽然不错，但是对于新木马完全没有免疫力
贝壳主要是针对新木马病毒设计的
第一次使用，点击扫描后贝壳会快速扫描，大约1-3分钟
然后列出四种等级的文件，1.信任2.无威胁3.未知4.病毒木马
一般你第一次扫描大多数是信任或者无威胁文件，如果有未知文件的话，你就点击上报（这是重点），然后耐心等待1-5分钟,最后再重新扫描一次，第二次扫描速度比第一次快几倍
第一次扫描显示未知的文件（就是你上报的文件）就能正确识别时木马病毒或者是正常文件了
说到这里明白了吧，贝壳的云安全计算目前是最快的，也就是说无论你在哪里，网吧或者家里，玩游戏或者网银前用贝壳扫一下，无论是多新的病毒，只要上报了，3分钟后就能识别出来了。360对于新病毒可是无能为力。对于顽固病毒，贝壳也可以替换被感染的的系统文件，保护系统安全贝壳的缺点是只能扫描系统关键目录（这也是为了速度）希望楼主试用一下贝壳，真的不错！贝壳官方网站下载地址： http://www.beike.cn/ 参考技术B 全盘格式化重装系统参考技术C 建议你用AVAST软件

AVPass技术分析：银行劫持类病毒鼻祖BankBot再度来袭，如何绕过谷歌play的杀毒引擎？

背景

近期，一批伪装成flashlight、vides和game的应用，发布在google play官方应用商店。经钱盾反诈实验室研究发现，该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖，在今年年初曾爆发，之前主要针对欧洲国家，可劫持50多家银行应用，而新发酵的BankBot已将攻击目标扩散到全球，可劫持银行增加到145家。

那么新型BankBot是怎么再次入侵用户手机？

能上架应用商店和入侵用户手机，BankBot使用了AVPass技术，包括针对静态分析和动态沙盒的逃逸，这样成功绕过大多数杀毒引擎。可信应用商店＋绕过杀毒引擎，这样病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是如何规避杀毒引擎，病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近，新型BankBot木马解析》。

AVPass分析

1、使用成熟的AVPass技术，可绕过反病毒检测系统

病毒AvPass工作流程图如下：

技术分享

Binary Obfuscation

混淆自身特征，包括类名、函数名、字符串加密、反射调用，并将待劫持应用包名sha1编码，随后使用加固技术，将恶意dex打包加密。处理后的app如下图：

技术分享

2、对抗动态沙盒

通过自检测运行环境和增加用户行为交互对抗沙盒，新型BankBot只有同时满足以下4条才会触发恶意行为：

运行在Android5.0以及以上设备
运行设备非俄罗斯、巴西、乌克兰用户
检测运行环境，若非真机环境将不会触发恶意行为
用户行为交互，点击按钮

下图运行设备检测

技术分享

3、FCM远控，获取短信验证码

目前，各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后，还差动态短信，之前BankBot直接使用短信劫持，但这样杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架，利用FCM向指定设备发送指令数据，从而获取受害者短信验证码，也就是控制端在成功钓鱼后，通过FCM下发获取短信的指令，病毒读取最新短信，通过网络上传至控制端。下图整个攻击流程。

技术分享