【病毒分析】行为恶劣的U盘病毒OSO.exe分析与查杀（2月3日补充） bbs.ikaka.com

￥紫铜‰ - 2007-1-27 10:55:00

看不懂但是还要顶

HTTLOVEWLB - 2007-1-27 11:27:00

现在通过介质传播的病毒是很坏的.搞的好不容易拷贝的文件都没有用了.你说是不是很坏的.所以说要严格的控制病毒的源头才是关键不能在网络上传播.

无心恋栈 - 2007-1-27 11:34:00

非常希望能找到一些教材，如何才能象版主一样啊？？？学习中谢谢！！！

shitai - 2007-1-27 14:13:00

斑竹好强。顶！

迁徙的鱼 - 2007-1-27 14:50:00

老大强悍!!!!!!!!!!!!!
辛苦了

蓝色寒冰 - 2007-1-27 15:55:00

关于这个病毒,个人添加了一点说明,有兴趣可以看看哦
http://hi.baidu.com/readon99/blog/item/829ee924598c01014c088da1.html

sanjingshou - 2007-1-27 16:23:00

感觉和熊猫很像啊~~
会不会是同一个作者
或者是其他人利用熊猫的原理~~

blupow - 2007-1-27 18:59:00

高手！不错！

dzhcai111 - 2007-1-27 23:51:00

看不懂。。。只能支持了

shenjiyun - 2007-1-28 0:11:00

虚拟环境和现实是不一样的，你们没中过吧，我今天刚中的，在百度上搜索，只找到一个网站有这个，是摘抄这个斑竹的，我试者做了，可是进程severe和conime结束后又会自动跳出来，aebgce.exe这个东西会自动重建，好像除不掉，注册表我改了个名字还可以打开，在注册表中搜索到"wuhan"估计是熊猫烧香（现在系统以还原，其他的不记的了），虽然System Volume Information这个文件夹被清空了，但我试着还原还是还过来了，只是时间还是２００４年．

2007炽天使 - 2007-1-28 8:57:00

呼!~~这么多病毒..就像是市场上的货物一样..真是目不暇接啊!

爬围墙上青天 - 2007-1-28 15:46:00

收了```

zhongzhi - 2007-1-28 19:23:00

看不懂，中了指定是死路一条，支持楼主！

bob841020 - 2007-1-28 20:00:00

我以前中过是"自动播放",双击打不开盘!看来应该就是这种病毒了!

lbz5339 - 2007-1-28 20:27:00

我操,我在公司里用的电脑就中了这毒,任务管理器都不给打开,我在这里发过求助,后来也没能解决,现在被迫重装.

單純僦昰緈諨 - 2007-1-29 2:27:00

说实话..我感觉现在互联网.存在很大问题..

telnet - 2007-1-29 6:22:00

看了轩辕小聪版主的文章，我玩了下注册表，有收获了，呵呵，希望版主以后多写点这方面的内容，好了，现在转入正题。
打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，新建个项 KVUSCAN.exe，然后添加字符串值 debugger，数值数据改为 c:\progra~1\rising\rfw\rfwmain.exe
刷新注册表，运行KVUSCAN.exe程序，居然启动了瑞星防火墙主程序，原来我指定了它的路径，如果指定的是一个病毒文件所在的路径，后果将不堪设想。

附件: 769643200712961309.jpg

telnet - 2007-1-29 6:32:00

看了轩辕小聪版主的文章，我玩了下注册表，有收获了，呵呵，希望版主以后多写点这方面的内容，好了，现在转入正题。
打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，新建个项 KVUSCAN.exe，然后添加字符串值 debugger，数值数据改为 c:\progra~1\rising\rfw\rfwmain.exe
刷新注册表，运行KVUSCAN.exe程序，居然启动了瑞星防火墙主程序，原来我指定了它的路径，如果指定的是一个病毒文件所在的路径，后果将不堪设想。

附件: 769643200712962302.jpg

telnet - 2007-1-29 6:33:00

修改debugger数值，指定一个瑞星防火墙不存在的路径(图A)，运行KVUSCAN.exe，系统提示路径不存在(图B)。

附件: 769643200712962421.jpg

telnet - 2007-1-29 6:34:00

把rfwmain.exe文件名改为aa.exe文件名，路径为 C:\Program Files\Rising\Rfw\aa.exe(图A)，实际上，Rfw文件夹不存在aa.exe这个文件，刷新注册表，运行 KVUSCAN.exe，系统提示找不到文件(图B)。
后来发现，其实debugger数值改为KVUSCAN.exe 结果跟图B的一样(请参考图C)。

附件: 769643200712962524.jpg

telnet - 2007-1-29 6:35:00

把 KVUSCAN.exe项删了，刷新注册表，再次运行 KVUSCAN.exe，程序正常运行，如图：

附件: 769643200712962614.jpg

冰海星火 - 2007-1-29 10:44:00

是啊,不错啊

平凡菜菜鸟 - 2007-1-29 12:24:00

的確詳細

平凡菜菜鸟 - 2007-1-29 12:25:00

的確詳細

诚信江湖 - 2007-1-29 17:05:00

真是佩服的五体投地

88dejsf - 2007-1-29 18:04:00

哎~~~~这年头，谁惹谁拉？这种病毒还....无语~~~
~~~佩服作者，支持！！

jackxiexi - 2007-1-29 19:17:00

太深奥了..
不是能够全部理解...;
还需学习

quanshenxian - 2007-1-29 20:59:00

在oso面前，各大杀毒软件可谓英名丧尽，希望瑞星以后能注意改进，不要随便就被别人禁掉！

☆四叶草☆ - 2007-1-29 21:40:00

感谢楼主，可惜我已经中了OSO.exe
我重装系统解决了
楼主的文章就在瑞星的论坛
但瑞星未能及时升级
防不到OSO.exe

E个人的精彩 - 2007-1-29 23:38:00

楼主辛辛苦苦写了这么多，好象没说这病毒有什么危害啊？
除了通过各种手段逃避杀毒软件查杀和传播病毒本身外，好象也看不出有什么危害，不知是我的技术不过关看不出来还是楼主的疏忽了
另外7楼的太经典了，我也要做好准备了，哈哈

引用:

【鸟儿天上飞的贴子】赶紧上报瑞星...把瑞星定义的病毒名告诉我...我好做好给别人杀毒的准备...这毒一般人中了求助都无门啊..
………………

瑞星卡卡安全论坛