瑞星卡卡安全论坛
mopery - 2007-1-11 2:05:00
http://forum.ikaka.com/topic.asp?board=28&artid=8243649
这是本来顶置的帖子..今天再次拿到样本..觉得变化大..重新写..
这些东西恶心程度..我不想再说了..如题写分析..
运行 logo1_.exe
释放文件
C:\WINDOWS\logo1_.exe (与威金病毒文件存放路径和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
新添加的..
X 盘内的每个文件夹内释放一个 _desktop.ini
是学威金 还是 本来就出自 威金 作者手里呢?
同时连入网络下载木马..这次文件名换了..
分别为
C:\WINDOWS\1.exe(Dropper.LMir.agi)
C:\WINDOWS\2.exe(瑞星不报)
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..头部写入:19613字节 尾部:5字节
汇编还看到些东西..
尝试结束进程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊猫一道? 熊猫干威金 威金干熊猫 精彩)
作者留下的字..还是不变..
地址=004081B7
反汇编=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
简单说说变化..
⒈ 感染的速度 比上次那个快多了..上次是一个盘一个盘来..这次是除系统盘..其他盘一次性感染..
⒉ go.exe 和 autorun.inf 飞走咯..
⒊ _desktop.ini 都跟威金 学吧..
⒋ 结束安全软件进程和熊猫进程..
================================================================
又收到一个..
和上面的差不多..
追加上了 释放文件
X:\pif.exe
X:\Autorun.inf
啊歪先生 - 2007-1-11 3:06:00
斑竹写个具体的删除教程吧 生成的那么多文件怎么办
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
这2步释放文件该怎么搞定 释放在哪 我没看到啊 该怎么解决
别的情况我都发现了
afkp4e7 - 2007-1-11 8:11:00
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
越来越无耻了
鸟儿天上飞 - 2007-1-11 8:13:00
版主威金专杀对他现在有用没有...
水树雨下 - 2007-1-11 8:35:00
疯了,疯了……今年是感染年,不会是刻录机厂商干的吧,逼着让人刻盘备份数据……
deadmanzj - 2007-1-11 8:39:00
| 引用: |
【水树雨下的贴子】疯了,疯了……今年是感染年,不会是刻录机厂商干的吧,逼着让人刻盘备份数据……
……………… |
怎么不说是废品回收站做的毒呢????逼着让人砸电脑
鸟儿天上飞 - 2007-1-11 8:40:00
| 引用: |
【deadmanzj的贴子】
怎么不说是废品回收站做的毒呢????逼着让人砸电脑
……………… |
哈哈.........
水树雨下 - 2007-1-11 8:42:00
| 引用: |
【deadmanzj的贴子】
怎么不说是废品回收站做的毒呢????逼着让人砸电脑
……………… |
盖茨干的,让人们换新系统
水树雨下 - 2007-1-11 8:45:00
不过事实如此,以现在的趋势,刻录机必备了,现在DVD刻录机也便宜,先锋的也不过俩正版瑞星的钱
afkp4e7 - 2007-1-11 8:49:00
299
快和白菜一个价了
水树雨下 - 2007-1-11 9:04:00
| 引用: |
【afkp4e7的贴子】299
快和白菜一个价了
……………… |
我送你一车白菜,再加两袋猫粮,你给我一个?
不知道农夫的专杀加点东西能不能杀
安全防卫 - 2007-1-11 9:30:00
又是一个新的维金变种,农夫的专杀还不能杀前上网要小心点哦
另壶冲 - 2007-1-11 9:44:00
感染EXE不是目的, 下载木马 盗取某些密码才是最终所求吧。
阳台kaka - 2007-1-11 10:20:00
别给我中毒,给我封恐吓信,要什么密码我都说出来还不行么
仙剑VS景天 - 2007-1-11 11:14:00
同时感染熊猫和威金会怎么样?到底谁把谁干掉啊
zangzanghu - 2007-1-11 11:16:00
我日,昨天我干掉了,今天装了个优化大师,又发作了,原来是我昨天下的优化大师里带的.这下惨了,我怎么也搞不掉了.
RockSnake - 2007-1-11 11:37:00
是不是这个样本也提交给瑞星的工程师了?专杀暂时就不会有了?到时瑞星查出毒后能修复被感染的文件么?
xiaoyueIQ - 2007-1-11 11:51:00
太变态了啊////
中了就什么都别想了从做系统吧
从做系统能行吗??
zangzanghu - 2007-1-11 12:10:00
重做不行啊,今天升级了瑞星,还是没查到它,我的瑞星病毒防火墙和网络防火墙都被它关了.
zangzanghu - 2007-1-11 12:12:00
瑞星动作太慢了,只有等它能杀我再做系统吧
gzcse - 2007-1-11 12:15:00
究竟要等到几时瑞星才能查杀这个病毒呢?真是郁闷。
zangzanghu - 2007-1-11 12:20:00
哈哈,瑞星还吹牛b,帮国外软件升不了级的用户,自己屁股都搞不干净,笑死我了!
太史悟寒 - 2007-1-11 13:18:00
| 引用: |
【zangzanghu的贴子】哈哈,瑞星还吹牛b,帮国外软件升不了级的用户,自己屁股都搞不干净,笑死我了!
……………… |
闪电风暴 - 2007-1-11 13:40:00
学习
风月边缘 - 2007-1-11 14:41:00
有你们这些分析高手帮忙,而且好多这个论坛的义务高手,我对瑞星有信心。
mopery - 2007-1-11 16:24:00
我提交到瑞星工程师了..
农夫专杀的算法 不能对付这个..
啊歪先生 - 2007-1-11 16:51:00
农夫的杀不掉
昨天我也把样本提交到卡巴了。现在把C/WINDOWS/logo1_.exe的病毒删除。自己建立个logo1_.exe的文件夹让病毒不先发作,但是基本所有的EXE都打不开了。只能上上网,听听歌,看看电影
spiritfire - 2007-1-11 18:34:00
哈哈! PC成了熊猫和威金的PK台,简直了!
这是在逼着我们换vista么?
尘书 - 2007-1-11 18:37:00
这东西真是烦,删了很久才搞定
zangzanghu - 2007-1-11 18:42:00
我日,瑞星还没出专杀吗?我的机子上已经被它种了好多木马和病毒了.
© 2000 - 2026 Rising Corp. Ltd.