瑞星卡卡安全论坛

样本来自：http://bbs.kafan.cn/viewthread.php?tid=225401&extra=page%3D1
病毒样本提供者被此毒吓得不轻（认为此毒比熊猫烧香还牛）。

中毒症状：
1、在各分区根目录下释放病毒文件autorun.inf和soleboy.exe。
2、在系统目录（system32）下释放病毒文件soleboy.exe和soleboy.txt。删除taskkill.exe。
3、硬盘中所有.exe文件图标变为病毒文件图标————“小狗头”（图1），给人以“硬盘中所有.exe文件均被病毒感染”之印象。
4、soleboy.txt的内容见图2。病毒作者没有撒谎。病毒只是将那些.exe文件的图标换成了病毒文件图标，.exe文件的内容并未改动。


杀毒流程：

1、结束soleboy.exe进程。
2、删除病毒文件（图3）
3、删除病毒添加的注册表内容（图4－图5）
4、将HKCR\exefile\DefaultIcon的键值编辑未空（图6）。
5、从I386文件夹或dllcache文件夹拷贝一个taskkill.exe到system32下即可。

图1：中招后，硬盘中所有.exe文件图标变为小狗头（这些.exe文件本身并未被病毒感染）。

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 1558472008329125808.jpg

图2：soleboy.txt的内容（没撒谎）。

附件: 1558472008329131326.jpg

图3：结束soleboy.exe进程后，所有病毒文件可删除 。

附件: 1558472008329125905.jpg

图4：需要删除的病毒加载项。

附件: 1558472008329125925.jpg

图5：需要删除的IFEO劫持项

附件: 1558472008329125952.jpg

图6：编辑HKCR\exefile\DefaultIcon的键值，.exe图标即可恢复正常。

附件: 1558472008329130013.jpg

可真有趣

病毒作者是在给江民作广告吧！

这个好玩

这叫做 系统图标美化病毒

引用:

【秋叶濛濛的贴子】这叫做 系统图标美化病毒 ………………

不明真相的中招者，恐怕又要整个格盘重装系统了。

有意思，猜测是个试验型的JOKE病毒，但如果被别有用心的人利用了，说不定会引发“小狗烧香”……

象是放出来探路的。

这个作者孤独男孩我在360社区见过，他在360还有另外个样本
我去找找给个连接

http://bbs.360safe.com/viewthread.php?tid=446257&extra=page%3D1

引用:

【侠者秋水的贴子】http://bbs.360safe.com/viewthread.php?tid=446257&extra=page%3D1 ………………

与这个病毒是同样的

喜欢这个!!!!!!!
实话实说,我去拿样本!!!!!嘻嘻
小狗狗

这个病毒好玩,嘎嘎！

引用:

【爱问鱼头的贴子】病毒作者是在给江民作广告吧！ ………………

同意

猫叔好像你少写了点什么吧.
exe和com打开方式没有修改回来.

拿来看看

很恶搞。不过貌似没有什么新技术。

好狗

给他命个名
joke.win32.university.
或
Adware.win32.jiangmin.

哈哈，是不是江民搞出来的啊！！！！

学习下，免得遇到了又费事又丢人，不过，这家伙真是探完路病毒做个进化咋办...头痛

这个有点意思，纯是作弄人。

确实看到那些动作，可在我系统上却一个图标也没劫持成功！虽然见到它几乎为所有的exe都重建了一次那个ifeo注册表键，吓人一跳：怎么那个ifeo键权限设置也被这个蠕虫突破了？但在它发起的系统重启后看到，图表一个也没得逞，那个设置过得硬键依然没动------红色依旧！

附件: 65212420084220811.jpg

呵呵...病毒作者想大上学也不用这样吧

这家伙可能刚出道吧，还不敢太嚣张，呵呵