瑞星卡卡安全论坛
thomas2004 - 2007-7-27 2:31:00
由于我很少留意病毒.本机也没装杀毒软件.所以不知道这什么病毒…
我只把一般的特征讲出来吧..
每个盘的根目录会自动生成 autorun.inf 和 setup.exe 两个文件
在 c:\windows\system\ 下会生成 winlogon.exe 侑的会侑 SYSTEM32.vxd
没有注册表,ActiveX或者服务的启动项
可是你会发现,无论怎么删 winlogon.exe 和 setup.exe, autorun.inf
病毒还是会启动起来…原理:
程序是一种
感染PE文件的病毒.. 长度为 21034字节
他运行后,会将自身插入到每个不在系统盘上的程序(还算侑良心)
把自身插在程序后面,然后把程序入口点改成从病毒头进入
从而每次运行不在系统盘上的程序,又重新中毒了..
运行非系统盘程序,会在同目录生成 “
0_.ii” 来重新启动winlogon.exe,然后删除“
0_.ii”
因为速度很快,肉眼无法观察,但可用 ICESWORD 和 FILEMON 之类的软件截获
说到查杀,怎么删都没用,最好的方法当然是全盘格式化重装,绝对没后患..
我下个几个专杀来杀,可是没有耐性等,杀C盘的时候,没杀到一半我就关了.总之没查出有毒.
刚才给样本同学,他用 AVG可以搞定这病毒..
可是侑很多人侑重要数据..又懒得下载大型的杀毒软件,怎么办?(像我这样)
无聊之中,挨了2个通宵,自己弄了个专杀..
侑需要的朋友可以问我拿. 由于程序用VB编写,只能单线程,所以很容易无响应,但不要结束,程序本身仍在正常执行,只是外界无法界入..PS:: (VB程序修复好像有点问题,但可以用 LOAD PE 在修复一次就能运行了
要是阁下用此程序修复过后,程序扔无法使用,不要怪我了..程序本身侑 CRC校验,就算伱用杀毒软件清除也是一个样. 要是已经侑这样的软件的话.提醒一声..
下面是截图.
附件:
202163200772722056.gif
超级游戏迷 - 2007-7-27 4:20:00
不管怎样,都要支持一下楼主的求知精神!
thomas2004 - 2007-7-27 4:31:00
【回复“超级游戏迷”的帖子】
谢谢.本来不用费那么大功夫的...
缘起女友机子中毒了.我去弄了几次,走了后还是侑..
郁闷带个样本回家看看...原来应用程序都被感染了..
为了她的幸福.唯有挨了2晚通宵赶起这程序了...
dickrj5 - 2007-7-27 11:06:00
这个病毒实在是很常见...
thomas2004 - 2007-7-27 14:22:00
【回复“dickrj5”的帖子】
感染PE我还是少见..
一般只是加载 autorun.inf
这么恶毒的..还是少见.也许我没留意病毒市场吧!~
不是这样吧?? 70多个人看过,只有2个回复????
不厚道...
ESETnod32 - 2007-7-27 14:34:00
嗯,我这边没感染。。。好奇怪。。。
中毒后,再装上nod32杀毒,貌似可以杀掉。
呵呵
newcenturymoon - 2007-7-27 14:56:00
如果能把源代码 贡献出来就最好咯
Leoooo - 2007-7-27 15:24:00
tankk - 2007-7-27 15:29:00
给我个样本吧 不知麻烦楼主么???
ESETnod32 - 2007-7-27 15:33:00
楼上的,我发到你邮箱了,没设密码,呵呵
thomas2004 - 2007-7-27 15:34:00
【回复“Leoooo”的帖子】
我倒..难道我把整个盘的程序都上传麽??
况且我真没那钱去买正版瑞星...又不想用D版...(支持正版)
所以我的机子是一个杀毒软件都没有的..
不用杀毒软件还有另外一个原因..不说了..隐私!~
只能用专杀...所以只针对特殊人群..
thomas2004 - 2007-7-27 15:36:00
【回复“newcenturymoon”的帖子】
VB源码???
程序还没完全完善..
只是针对一个病毒..
正在写,以后可以修改部分信息,然后查杀一大堆类似病毒..
等完善了的话,我会偿试公布的..但VB确实不是什么好的编程软件,so..献丑了..
thomas2004 - 2007-7-27 15:39:00
【回复“tankk”的帖子】
xoyohere@sina.com
这个邮箱?? 发了..
tankk - 2007-7-27 15:45:00
| 引用: |
【ESETnod32的贴子】楼上的,我发到你邮箱了,没设密码,呵呵
……………… |
?? 我怎么没有收到啊
难道被截掉了???
ESETnod32 - 2007-7-27 15:49:00
【回复“thomas2004”的帖子】
为什么在我这儿没感染exe文件呢?太奇怪了,这病毒就生成了o.ii,setup.exe,autorun.inf,winlogon.exe。
难道是虚拟机的缘故吗??呵呵
thomas2004 - 2007-7-27 15:51:00
【回复“ESETnod32”的帖子】
虚拟机.....
伱试下在伱的系统中运行下就知道了...
用 PEID 来看下程序的入口点吧.查查壳就知道了
只感染非系统盘的程序文件.
伱可以试下跑..反正我把专杀弄好了..肯定能治好的..我都没事了.
ESETnod32 - 2007-7-27 15:52:00
哦,对了,那个o_.ii一直留在那里的。。。汗。。。你给我的这个样本好像是个残废。。。。^_^
thomas2004 - 2007-7-27 15:56:00
【回复“ESETnod32”的帖子】
倒...难道我杀坏了???
我重新发个给伱..
ESETnod32 - 2007-7-27 15:58:00
好,呵呵
tankk - 2007-7-27 16:02:00
thomas2004 - 2007-7-27 16:10:00
我倒...我刚才一直都是发到 xoyohere@sina.com 这个邮箱
ESETnod32 的邮箱多少?? 我忘记了....
晕..看错名字了...
ESETnod32 - 2007-7-27 16:16:00
【回复“thomas2004”的帖子】
zxsu37@sina.com
tankk - 2007-7-27 16:21:00
楼主,麻烦你加个密发来吧~~ 我这还是没有..哈
tankk - 2007-7-27 16:21:00
楼主,麻烦你加个密发来吧~~ 我这还是没有..哈
艾玛 - 2007-7-27 17:15:00
| 引用: |
【thomas2004的贴子】我倒...我刚才一直都是发到 xoyohere@sina.com 这个邮箱
ESETnod32 的邮箱多少?? 我忘记了....
晕..看错名字了...
……………… |
很久没看到你了。首贴里整理一下,看了晕呼哈哈
thomas2004 - 2007-7-27 17:32:00
【回复“艾玛”的帖子】
呵呵..是好久不见了...我就说..我以前经常聊的版主哪去了...
是有点乱...现在很忙.抽不出时间,帖子也是临时写的..
要不伱有空的话,帮我弄一下吧..
还有,baohe去哪了?? 怎么一直不见人??? 他没暑假放的吧?
我也快上高三了..更没时间来了...这次当是高三前的最后一次疯狂吧!~
li_li - 2007-7-27 18:13:00
【回复“thomas2004”的帖子】
你好,我的电脑是每个盘自动生成
sxs.exe
autorun.inf
这两个文件,也是中毒了,杀了又有。
thomas2004 - 2007-7-27 18:27:00
【回复“li_li”的帖子】
我研究下吧..!~ . ==
raulronaldo - 2007-7-27 18:49:00
民间专杀制作者精神可嘉,但觉得还是把样本给杀软公司,让他们解决比较好~~~
thomas2004 - 2007-7-27 18:56:00
【回复“raulronaldo”的帖子】
估计他们应该会侑样本吧?
我上网找过,6月多已经侑一些分析的文章了.
只是没说到重点和还没見侑专杀而已!~...
呵呵!~
© 2000 - 2026 Rising Corp. Ltd.
