瑞星卡卡安全论坛

木马主体文件：SVCHOST.EXE（图1）。瑞星今天的病毒库尚不能查杀这个木马。
运行后，木马试图在C:\WINDOWS\下释放autorun.inf和SVCHOST.EXE。其它分区根目录下可能也有autorun.inf和SVCHOST.EXE释放。但我的D盘有TPF2005的“文件保护”（禁止在任何目录下创建、写入、删除文件），未能观察到这两个文件的释放。
在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKCU\Software\Microsoft\Windows\CurrentVersion\Run两个分支分别添加启动项ip和io。
然后，全盘搜索DOC、RTF文件，找到后即删除之，并创建一个同名的.exe文件（48K）。在搜索到的每个 文件夹中创建一个木马主体文件SVCHOST.EXE
我的C、D两个硬盘分区有TPF2005的文件保护，未受影响。
U盘的所有DOC文件全部遭其毒手（图2）。好在我的TPF2005有Track'nReverse功能，U盘文件得以全部复原。

注：此马还有一个特点——再次感染系统时自动停止运行。


图1

附件: 1558472006618222137.jpg

图2

附件: 1558472006618222207.jpg

上帝~紧张了~！我好像在哪儿见个这个烂东西~！

晕.SSM能搞定他吗/.

引用:

【独孤豪侠的贴子】晕.SSM能搞定他吗/. ...........................

这两天让SSM休息了。
估计SSM能搞掂它。
主要危害是：那些写毕业论文的学生们，如果遭此毒手，估计要哭掉眼珠子了！！

严重鄙视病毒的作者

呵呵~~~~~~
顶置,让更多的人看看.

可能已经写慢了..这几天论坛就有人求助这个..

引用:

【mopery的贴子】可能已经写慢了..这几天论坛就有人求助这个.. ...........................

求助，基本上于事无补。
如果没有适当的防护措施，中此马后，只有找专业数据恢复公司去恢复数据了。

金山的数据恢复能行不?

引用:

【刀刀笨贼的贴子】金山的数据恢复能行不? ...........................

不清楚。可以试试。

收到，学习。

上次看到过类似的文件，但是好象用瑞星杀掉了啊
难道我看错了？

引用:

【孤心追魂的贴子】上次看到过类似的文件，但是好象用瑞星杀掉了啊 难道我看错了？ ...........................

我是开着瑞星所有监控运行的这只木马。瑞星不报。估计还是那个“敲诈钱财的”。
木马是经常换壳的。

这个木马的针对性好强~~
有个想法~~不知是否可行~
在这些文档文件保存后，将其后缀名去掉~（只是不知长时间如此，是否会造成内容丢失~~？而且也挺麻烦~）

关注中

http://bbs.db.kingsoft.com/viewthread.php?fid=3145&tid=21163145&extra=page%3D1
可以尝试用这个工具修复被删除的内容

新出的 公司文件丢了也蛮讨厌 哎

搂主辛苦了

刀刀笨贼是刚注册的？汗。。。。。。。。


这个东东是先创建EXE后删除DOC的吗？baohe

引用:

【艾玛的贴子】刀刀笨贼是刚注册的？汗。。。。。。。。 这个东东是先创建EXE后删除DOC的吗？baohe ...........................

是的。

这么历害呀

引用:

【艾玛的贴子】刀刀笨贼是刚注册的？汗。。。。。。。。 这个东东是先创建EXE后删除DOC的吗？baohe ...........................

怎么了艾玛大姐?

baohe,这个貌似比较早的了吧?昨晚下载时硬是被偶那个破DUBA给拦下了

引用:

【刀刀笨贼的贴子】baohe,这个貌似比较早的了吧?昨晚下载时硬是被偶那个破DUBA给拦下了 ...........................

毒霸的情况我不了解。
我发这个帖子时，瑞星不报。但瑞星今天的病毒库报了（一只蠕虫）。

关掉db后那个yahoo的NORTON又报....

baohe,给我发个样本,到zx01212@163.com,谢谢啊

这个样本，很早就看到了，删除原word档后，在创建相同名字的exe文件
PS:不知道能不能用文件恢复工具FinalData，EasyRecovery来恢复

收藏了