瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 警惕替换windows自动更新程序wuauclt1.exe的病毒
baohe - 2008-7-19 16:03:00
今天刚刚拿到的样本。
瑞星20.53.50不报此毒。此毒在各个分区根目录下释放autorun.inf和MSDOS.exe(隐藏文件);改写system32目录下的系统程序wuauclt1.exe,改写drivers目录下的beep.sys;删除安全模式;中毒后瑞星杀软的所有监控失效。
病毒运行后释放的文件如下:

病毒改动的注册表内容如下:

系统(XP SP3)程序wuauclt1.exe的 MD5:




病毒程序wuauclt1.exe的 MD5:




一条软件限制策略即可弄死病毒


散列规则防护效果之一:


散列规则防护效果之一二:
[

删除所有病毒文件后,将dllcache目录下的系统程序wuauclt1.exe拷回system32目录。


用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
LMhust - 2008-7-19 16:25:00
学习一下。。。。
aaccbbdd - 2008-7-19 16:26:00
估计就是那天见到的那些文件了
问题是那天多款杀毒软件都没报毒
狂汗
hotboy - 2008-7-19 19:17:00
track就是一目了然啊
闪电风暴 - 2008-7-19 19:22:00
传说中的BEEPxxx?
小电灯泡 - 2008-7-21 10:53:00
防病毒替换正常文件,新散列规则笑眯眯搞定,
networkedition - 2008-7-22 16:40:00
猫叔对于tiny监控的注册表键值,被病毒修改了,如何能正确的修改回来,tiny好像不提供修改具体的注册表的键值。ssm可以
afkp4e7 - 2008-7-23 9:21:00
盗号,木马还是下载者?
zy508 - 2008-7-23 21:19:00
how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open the win system, it will have a command of ' Generic host Process for win32 services has problem'
Sorry, i can't type in chinese in school computer.
baohe - 2008-7-23 21:27:00


引用:
原帖由 zy508 于 2008-7-23 21:19:00 发表
how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open the win system, it will have a command of ' Generi


double click the following program:
%system%\gpedit.msc
中分 - 2008-7-24 12:54:00
:default6: 应该开个猫版专区了,,永远的学习支持者.
zy508 - 2008-7-24 21:19:00


引用:
原帖由 baohe 于 2008-7-23 21:27:00 发表
[quote] 原帖由 zy508 于 2008-7-23 21:19:00 发表
how to get the screen of '一条软件限制策略即可弄死病毒', could tell more in detail? thanks.
my computer seems get this problem, and often crashed.
and once open 

thanks a lot.:default5:
天云一剑 - 2008-7-25 14:29:00
Or press your "WIN+R" keys,then input this "gpedit.msc"
两个铁球 - 2008-7-26 12:59:00


引用:
原帖由 hotboy 于 2008-7-19 19:17:00 发表
track就是一目了然啊



---so,i love TINY !!!
两个铁球 - 2008-7-26 13:27:00
我只有版主你发的那个新版的此毒的样本,用那个样本建立起的“软件限制策l略”(途径规则而不是散列规则)是否对这个旧版的毒没效?(md5值不同嘛,散列规则可能更无效);我是否还需要请您赠予这旧版样本呢?:default3: :default3: :default3:
坏@小子 - 2008-7-26 13:47:00
猫叔辛苦了
支持学习下~!
oudaguang - 2008-7-27 20:46:00
学习了,支持一下:default6:
优质宏迷 - 2008-7-28 13:36:00
:kaka6: 好恐怖!
wysiwys - 2008-7-30 11:23:00
我姐姐的电脑就中招啦 我整了半天 下次去了 按这个方法整干净他
QQ凌帆 - 2008-7-30 18:44:00
学习了,可否问一下你图用什么工具查看的呢?
baohe - 2008-7-30 22:29:00


引用:
原帖由 QQ凌帆 于 2008-7-30 18:44:00 发表
学习了,可否问一下你图用什么工具查看的呢?

用Tiny的Track'nReverse监控病毒运行的结果
水中泜 - 2008-7-31 21:00:00
可是系统时间还是2004年啊……怎么改呀。。。
baohe - 2008-7-31 21:15:00


引用:
原帖由 水中泜 于 2008-7-31 21:00:00 发表
可是系统时间还是2004年啊……怎么改呀。。。


杀净病毒后,双击任务栏右端的时间显示处,自己把系统时间改回来。
帅哥无双 - 2008-7-31 21:42:00
长见识了
nmddtwyc - 2008-8-1 22:24:00
谢了,学习下
江蛰民 - 2008-8-2 19:33:00
我就是中了这个毒呀
软件学者 - 2008-8-4 13:34:00
呵呵,我不怕.大不了就用系统安装盘直接修复注册表!
tongtree - 2008-8-4 16:29:00
晚来了一步,我都还原了。这病毒ms可以通过局域网传播
1
查看完整版本: 警惕替换windows自动更新程序wuauclt1.exe的病毒
© 2000 - 2026 Rising Corp. Ltd.