baohe - 2009-1-2 11:28:00
样本来源:http://bbs.ikaka.com/showtopic-8583698.aspx
这是“零三”上传的几个样本中的一个(文件大小:39K;MD5值:f803967c024caeabb840d15d5d84badf)。
瑞星2009最新病毒库不报毒(图1)。
附件: 您所在的用户组无法下载或查看附件
此毒运行后的文件释放及注册表改动如下(图2、图3):
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
此毒运行后,查看进程列表,可见IE和conime被病毒启动了(图4)
附件: 您所在的用户组无法下载或查看附件
有趣的是:因为我的IDM(下载工具)设置,所有经IE下载的任务全部被IDM接管,因此,此病毒通过IE下载的DD全部被囚禁在IDM的下载目录中(图5。不能自动运行)。
附件: 您所在的用户组无法下载或查看附件
结束病毒打开的IE和conime进程,用Tiny的track'nreverse清除图2、图3所示的病毒文件及注册表内容。完事。
下面的附件就是IDM俘虏的病毒文件。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
附件: downloaded_apps.rar
这是“零三”上传的几个样本中的一个(文件大小:39K;MD5值:f803967c024caeabb840d15d5d84badf)。
瑞星2009最新病毒库不报毒(图1)。
附件: 您所在的用户组无法下载或查看附件此毒运行后的文件释放及注册表改动如下(图2、图3):
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件此毒运行后,查看进程列表,可见IE和conime被病毒启动了(图4)
附件: 您所在的用户组无法下载或查看附件有趣的是:因为我的IDM(下载工具)设置,所有经IE下载的任务全部被IDM接管,因此,此病毒通过IE下载的DD全部被囚禁在IDM的下载目录中(图5。不能自动运行)。
附件: 您所在的用户组无法下载或查看附件结束病毒打开的IE和conime进程,用Tiny的track'nreverse清除图2、图3所示的病毒文件及注册表内容。完事。
下面的附件就是IDM俘虏的病毒文件。
用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
附件: downloaded_apps.rar