happysunday2003 - 2008-9-27 18:14:00
今天打开d盘看的时候发现了一个tel.xls.exe文件
去打开的时候瑞星提示是病毒
由于在d盘有autorun.inf 的文件免疫
所以病毒只生成了一个tel.xls.exe
关掉瑞星的提示框
设置成不处理
平时想找个样本练练
病毒根本不给俺这个机会
所以放过这个病毒
下面的交给我了
关掉瑞星监控
启动病毒
发现了病毒的一些加入启动项的动作
马上扫日志
日志如下
附件:
您所在的用户组无法下载或查看附件一会吃晚饭就把这个病毒给宰了
先去吃饭了
清理完后我会把过程和一些思路写下来
大家帮忙分析下
看看俺有没有犯错误的地方
向大家敬礼
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; 360SE)
happysunday2003 - 2008-9-27 18:15:00
运行了以后发现病毒并没有什么动作
最后也不知道这个病毒是干什么的
但是瑞星提示是属于木马类型的
不管它了
只好傻乎乎的清理
首先在我的电脑里面搜索2008年9月27日创建的文件
发现 了这个病毒在system32文件下面生成的三个文件
于是进行删除操作
提示文件正在运行,拒绝访问的提示
看进程里面有一个algsrv进程
结束掉
删除成功
清理注册表启动项
删除各个驱动器下面的tel.xls.exe
个人认为清理成功
有不服气的上来O(∩_∩)O哈哈~
希望能得到指导
病毒样本在此
附件:
tel.xls.rar
豪斯登堡新郎 - 2008-9-29 20:13:00
粗略行为分析:
释放文件副本:
c:\windows\system32\SocksA.exe
c:\windows\system32\FileKan.exe
c:\windows\system32\algsrv.exe
各分区根目录上释放:
autorun.inf
tel.xls.exe
添加注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ASocksrv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,BSserver
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,ASocksrv
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,BSserver
循环回写文件:
c:\windows\system32\algsrv.exe
tel.xls.exe
叶陵君 - 2008-9-29 21:10:00
循环回写? 这个怎么看。
tiny追踪下。 作了以下动作 (越喜欢这个工具了)
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件先 用 Wsyscheck 直接到system32删除 那三个程序。
再删除 C盘下 autorun.inf 和 tel.xls.exe
最后到注册表 修改三处键值。
清空下缓存,完事。
happysunday2003 - 2008-9-29 21:41:00
学长和叶陵君说的跟我发现的一样
不知道学长是怎么
分析出来
循环回写文件:
c:\windows\system32\algsrv.exe
tel.xls.exe
我在procexp里面看到了
每隔一段时间就会出现一个这样的动作
附件:
您所在的用户组无法下载或查看附件不知道你们是用什么分析到的
谢谢回答
小狮子AA - 2008-9-30 10:03:00
主动防御软件跟踪么
死鸟的是tiny
新郎
SSM
超级游戏迷 - 2008-10-1 13:09:00
超老病毒,记得是05年流行的。
一般情况下,设置“隐藏已知文件类型扩展名”的菜鸟遇到这情况,会发一阵蒙(tel.xls.exe文件的图标是excel的,实际上是盗用excel图标的病毒文件)……:default2:
牛仔馒头 - 2008-10-3 23:06:00
很好的一个典型,你走运了,,我可是没有机会,我要自己创造机会了
© 2000 - 2026 Rising Corp. Ltd.