瑞星卡卡安全论坛

见到中此毒后的求助帖子N多。都说无法彻底清除此毒。今天，终于拿到此毒的样本，运行了一下。现将所见现象及处理过程罗列如下，供大家参考。

这是一个感染型下载器；瑞星20.38.50扫描此avp.exe，报win32.downloader.af。
中此毒后，硬盘各分区的.exe全部被此毒感染。
此毒感染文件的特点是：被感染文件的大小不变（图1）；查看、对比原文件及相应染毒文件的MD5值才能看出破绽。
例如：
未染毒autoruns.exe的MD5为: 0528ae5ebf9b651e394f5af7504f3f6a
被avp.exe感染的autoruns.exe的MD5为: e447c6e1ae18ac182adda5546d58490f

联网状态下，被此毒感染的文件（如：本例的autoruns.exe）运行后，访问网络（图2），下载病毒avp.exe到系统分区根目录下并自动运行。

瑞星20.38.50可以清除被感染文件中的病毒信息（图3）。被感染程序经瑞星杀毒后可正常工作（图4）。

建议：中此毒者升级瑞星病毒库后，断网，全盘查杀。



图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 155847200846112910.jpg

图2

附件: 155847200846112929.jpg

图3

附件: 155847200846112944.jpg

图4

附件: 155847200846113009.jpg

不知道 猫叔发完没 进来占楼吃完饭慢慢看
：）
现在网上已经有了感染这个病毒的修复工具了

引用:

【秋叶濛濛的贴子】不知道 猫叔发完没 进来占楼吃完饭慢慢看 ：） 现在网上已经有了感染这个病毒的修复工具了 ………………

瑞星用户不用那么麻烦。升级病毒库、断网、全盘杀毒即可。

问题是他不是rising用户
嘎嘎~~~

经常看看对自己有好处,呵呵,,学习中.

谢谢猫叔分享，学习~~~

致敬！

用winhex对比大小··感染的exe比正常exe多569B，一般在末尾向前数537B处插入一段代码··其中有下载avp.exe的网址和下载路径。在前方某处修改代码，使程序无法运行，初步统计共36B。瑞星是可以修复··不过·有些文件无法运行··不知道是否存在重复感染的情况··

呵呵，这个病毒我已在一个装瑞星的朋友机上一星期前就拿到了。这也是偶开始刻意玩病毒的第一个样本。没有时间，也不好意思班门弄斧，一时没把分析帖子弄上来。(本想以“一个仿冒卡巴进程、干掉Tiny的木马！”为题发的。。。。）

当时我拿到的是一窝样，至今才看了2个，卡巴标明是不同的变种。除了卡巴（即使在停止卡巴所有的功能，除自我保护外）不被写入外，几乎所有的安软不例外的都被写入，MD5改变。最受蹂躏的要算TINY和安全360啦！

附件: 65212420084724752.jpg

连SSM都被写了（MD5变了）

附件: 65212420084730027.jpg

引用:

【小鑫的贴子】用winhex对比大小··感染的exe比正常exe多569B，一般在末尾向前数537B处插入一段代码··其中有下载avp.exe的网址和下载路径。在前方某处修改代码，使程序无法运行，初步统计共36B。瑞星是可以修复··不过·有些文件无法运行··不知道是否存在重复感染的情况·· ………………

被写入的文件，有的还能运行，有的不能。
被写入的文件，卡巴都能报改写了，一个个红色报警不停涌出。
不知瑞星对改写了的文件逐一报否？

ps:用啥工具看插入代码的位置及大小？

360现在看见最多的求助的就是avp~~~~~~~~~

【回复“两个铁球”的帖子】
winhex对比···计算···不过有几个地方还没有找出规律··

我的瑞星咋不到病毒啊?
郁闷啊 杀不掉 有手动杀的方法么?
我的60啊 是不是瑞星也被感染了?

再早一点就好了，上周同学机器中了，没办法，到PE下用大蜘蛛杀的，被感染的EXE文件都不能用了

感染型的?真麻烦啊……

引用:

【齐宇521的贴子】我的瑞星咋不到病毒啊? 郁闷啊 杀不掉 有手动杀的方法么? 我的60啊 是不是瑞星也被感染了? ………………

我拿到样品及其一些变种的那台朋友的机子，就是用着瑞星，没见报警，是用360看到的，共报14个。当时瑞星的小伞都是绿的，它们相处的很好！说明它改写有些设置不当的瑞星是很容易的。
在我的机上，KIS-6即使关掉除自我保护外的所有功能，卡巴也没被写入任何文件。不解的是：怎么SSM的主要文件也被写入了？？？？？？？？？

我的系统没有中毒

没有时间进行系统的分析``
没有对AVP.exe等进行脱壳反编译``
经过试验``除了几个目录及文件不感染外其他EXE通杀``
c:\windows  桌面等就是不感染的地方`