防不胜防 bbs.ikaka.com

baohe - 2009-5-17 11:27:00

C:\Documents and Settings\用户名\桌面\X@\Windows.Activation.Crack.Final-ETH0.zip
C:\Documents and Settings\用户名\Shared\Windows.Activation.Crack.Final-ETH0.zip

我头一次见到这样释放文件的病毒。孤陋寡闻了。惭愧！

C:\Documents and Settings\用户名\桌面\X@\
C:\Documents and Settings\用户名\Shared\

这样的畸形目录，用户根本无法访问。用IceSword也见不到这样的目录。中了这样的毒，处理时想必很棘手。

用Tiny，自己设置规则，可以禁止这类文件释放。

附件: 您所在的用户组无法下载或查看附件

那位大师感兴趣，请拿去研究一下这个病毒。密码：123

附件: 您所在的用户组无法下载或查看附件

百事灵回复：瑞星病毒库版本：21.30.03 已可查杀。

aaccbbdd - 2009-5-17 11:30:00

猫叔
是不是延迟删除的删除工具可以删除畸形目录里的文件:kaka2:

baohe - 2009-5-17 11:31:00

引用:

原帖由 aaccbbdd 于 2009-5-17 11:30:00 发表
猫叔
是不是延迟删除的删除工具可以删除畸形目录里的文件:kaka2:

不清楚。如果有条件，你可以试试。

PS：现在，我的本本上只有Tiny这一个DD；其它的，全部请出了系统。开机，那叫一个爽！

smallyou93 - 2009-5-17 12:04:00

猫叔没用XueTr？。。

:kaka6: 猫叔只用tiny，连SSM也抛弃了？

baohe - 2009-5-17 12:42:00

引用:

原帖由 smallyou93 于 2009-5-17 12:04:00 发表
猫叔没用XueTr？。。

:kaka6: 猫叔只用tiny，连SSM也抛弃了？

需要安装的，只留下TINY。

不需要安装的，只留下IceSword 。俺是pjf的粉丝哦～～:kaka16:

smallyou93 - 2009-5-17 12:51:00

:kaka1: IceSword就是好

:kaka7: 可惜的是，PJF不更新了..

smallyou93 - 2009-5-17 14:52:00

:kaka6:我是没法折腾的了

附件: 您所在的用户组无法下载或查看附件

baohe - 2009-5-17 14:55:00

引用:

原帖由 smallyou93 于 2009-5-17 14:52:00 发表
:kaka6:我是没法折腾的了

附件: 您所在的用户组无法下载或查看附件

中招了？虚拟机？

smallyou93 - 2009-5-17 14:59:00

是的:kaka6: ，狂弹这提示窗出来，只加载了dll。。

baohe - 2009-5-17 15:18:00

引用:

原帖由 smallyou93 于 2009-5-17 14:59:00 发表
是的:kaka6: ，狂弹这提示窗出来，只加载了dll。。

先把那个DLL弄到blacklist里面，然后用IceSword从进程中卸除它，结果怎样呢？

byxxdrls - 2009-5-17 15:18:00

我是晕4遇到同样的问题

baohe - 2009-5-17 15:19:00

引用:

原帖由 byxxdrls 于 2009-5-17 15:18:00 发表
我是晕4遇到同样的问题

我说的那些古怪文件释放了没？

byxxdrls - 2009-5-17 15:20:00

没有哟，估计是检测虚拟机环境的。

baohe - 2009-5-17 15:28:00

引用:

原帖由 byxxdrls 于 2009-5-17 15:20:00 发表
没有哟，估计是检测虚拟机环境的。

我的实机观察背景比较特殊。

1、观察此毒前有CSS做的整个硬盘备份（要动这些备份需访问隐藏分区）。

2、观察后，删除当前用户目录C:\Documents and Settings\baohelin\下的病毒文件svchost.exe（隐藏的）。然后用CSS的Rescue and Recovery从硬盘备份中调出整个Documents and Settings目录内容，覆盖运行病毒后的整个Documents and Settings目录。

3、设置Tiny规则，再次观察。成功阻止那些文件释放。

byxxdrls - 2009-5-17 15:31:00

刚才试了一下，实机也是如此。

baohe - 2009-5-17 15:34:00

引用:

原帖由 byxxdrls 于 2009-5-17 15:31:00 发表
刚才试了一下，实机也是如此。

汗！

我再找那个原样本发上来。（不过，除了文件名，二者是一样的。我核对过MD5啊）。

baohe - 2009-5-17 15:35:00

这是原样本

无密码

附件: 您所在的用户组无法下载或查看附件

byxxdrls - 2009-5-17 15:39:00

一样。不知检测什么才运行的。

smallyou93 - 2009-5-17 15:43:00

:kaka6: 汗，还是没办法运行..

baohe - 2009-5-17 15:55:00

引用:

原帖由 smallyou93 于 2009-5-17 15:43:00 发表
:kaka6: 汗，还是没办法运行..

去掉Tiny针对此毒的规则。

重演一遍。

1、释放文件。

附件: 您所在的用户组无法下载或查看附件
2、活动的病毒程序位置：

附件: 您所在的用户组无法下载或查看附件

3、病毒进程：

附件: 您所在的用户组无法下载或查看附件

4、网络攻击：

附件: 您所在的用户组无法下载或查看附件

PS：也许是我的系统除Tiny之外，再无其它安全软件干扰。

smallyou93 - 2009-5-17 16:23:00

http://bbs.janmeng.com/thread-867810-1-1.html

这里的样本和猫叔的是一样的，只是去掉了检测

:kaka6: 奇怪的是，我进PE无法看见那些文件..

难道病毒删除了？

附件: 您所在的用户组无法下载或查看附件

baohe - 2009-5-17 17:09:00

俺木有PE。:kaka3:

byxxdrls - 2009-5-17 17:24:00

估计是没实际建立这样的文件。

smallyou93 - 2009-5-17 20:21:00

猫叔
cmd /c md "%USERPROFILE%\Shared"

然后再运行样本一次

baohe - 2009-5-17 21:10:00

引用:

原帖由 smallyou93 于 2009-5-17 20:21:00 发表
猫叔
cmd /c md "%USERPROFILE%\Shared"

然后再运行样本一次

谢谢晕4指点。全部拿下:kaka12:

附件无密码

附件: 您所在的用户组无法下载或查看附件

PS：此毒可经移动存贮介质传播。刚才将捕获的样本转移至U盘时发现：U盘根目录下生成两个文件：autorun.inf和protector.exe。
autorun.inf的内容为：
[autorun]
shellexecute=protector.exe
action=Open folder to view files
shell\infected=Open
shell\infected\command=protector.exe
shell=infected

删除protector.exe，眼疾手快，拔下U盘。搞掂。:kaka16:

若未删除那个protector.exe，再插U盘时，用户若选择这个选项（图）－－－－再次中招。

附件: 您所在的用户组无法下载或查看附件

若删除了protector.exe但保留那个.inf，再插U盘时点击上图选项，则：

附件: 您所在的用户组无法下载或查看附件

smallyou93 - 2009-5-17 21:20:00

:kaka1: 这方法是群里一大牛ximo所教的，不是我想出来:kaka12:

:kaka6: 这毒可真阴损...

baohe - 2009-5-17 21:28:00

引用:

原帖由 smallyou93 于 2009-5-17 21:20:00 发表
:kaka1: 这方法是群里一大牛ximo所教的，不是我想出来:kaka12:

:kaka6: 这毒可真阴损...

看过那些DD的MD5了。和原样本完全相同：ebc011efd4bd097f60b5a6258dd38cca

只是文件名不同。其中一个文件名挺诱人：virtuagrl.exe（虚拟小妞:kaka6: ）。估计这个毒的作者是老外。此毒是用来诱惑小色色们上当的。

瑞星卡卡安全论坛