fun.xls.exe U盘病毒的查杀 bbs.ikaka.com

mopery - 2006-11-22 20:23:00

fun.xls.exe 是 tel.xls.exe 的变种..早在⒈号我就写了 tel.xls.exe 的分析..
(http://hi.baidu.com/mopery/blog/item/fd3458edb256ced4b31cb1c2.html)
这个病毒目前应该有四个变种.. 今天把这个新变种的查杀方法也写写..

系统症状
每次双击盘符出现一个新窗口
鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件

样本命名
瑞星暂不能查杀

样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..

释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
每个盘符下释放
AUTORUN.INF
fun.xls.exe

AUTORUN.INF文件内容
[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

解决方法
1.安全模式下.删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log

2.删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

3.恢复显示所有的文件项
开始=>运行=>regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除 CheckedValue 键值然后单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1

4.右键=>打开进入每个盘符依次删除每个盘符里的文件
AUTORUN.INF
fun.xls.exe

chinesalon - 2006-11-22 20:31:00

此帖建议置顶!!!!!!
前两天我和机子就出现了这样的故障.
只有AUTORUN.INF
没有fun.xls.exe,查出进程中有个不认识的VFFFGI,EXE处理了一天多,才按上面方法搞定.这个木马能禁用瑞星,QQ专杀\卡巴等杀毒软件,打不开逻辑分区,每次双击都使得木马程序运行,比较难处理.

mopery - 2006-11-22 20:42:00

没多少人中这玩意..不顶咯..

chinesalon - 2006-11-22 20:53:00

别灰心.我支持你.

deadmanzj - 2006-11-22 21:07:00

嘿嘿，偶发现一个问题了。。。得去问问你。（解决）

水树雨下 - 2006-11-22 21:12:00

好东西，学习

6981313 - 2006-11-22 21:13:00

ding~~
就一下,呵呵~~~~~~~

xp123 - 2006-11-22 21:19:00

shou xia le

westbeck - 2006-11-22 21:50:00

m版辛苦了: )

holalee - 2006-12-1 14:32:00

【回复“chinesalon”的帖子】

请问你是怎么杀得阿，我也中了这个，每个盘符下面都有autorun.inf和sxs.exe，起动项里有vfffgi，但是我一进安全模式就重起，这是为什么啊

轩辕小聪 - 2006-12-1 14:49:00

引用:

【holalee的贴子】【回复“chinesalon”的帖子】

请问你是怎么杀得阿，我也中了这个，每个盘符下面都有autorun.inf和sxs.exe，起动项里有vfffgi，但是我一进安全模式就重起，这是为什么啊
………………

你这个与本帖说的不同。看置顶。

轩辕小聪 - 2006-12-1 14:49:00

引用:

【mopery的贴子】没多少人中这玩意..不顶咯..
………………

你居然写出来了，呵呵，我都懒得写，反正与tel.xls.exe的区别就是病毒文件名不同而已。半个多月前我就在同学的机子里宰过了。

瑞星卡卡安全论坛