瑞星卡卡安全论坛

病毒名：Win32.Crunk.a

如果成功，它会删除以下文件:
  • %系统驱动器根目录%\*.*
  • %当前目录%\*.*




最重要的是搜索全盘PE文件，被感染的EXe 和 Scr 将无法被恢复。


EPO (入口模糊化 Entry Point Obscuring) - 受感染文件的 EP (入口 Entry Point) 保持不变。 病毒对程序代码进行修补，将其执行重定向到病毒代码。

病毒包含多态引擎。每次感染时整个病毒代码都会改变。
受感染的文件通常已经损坏或崩溃。


还会判断是否存在以下文件，有则删除：
C:\Boot.ini
C:\Ntldr.com
都是跟系统启动相关的重要系统文件

用户系统信息：Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22

这个分析也太简单了吧:kaka6:

你指望还有什么？？

分析出的这几个还不够你受的？:kaka6:

嗯，分析的不错，以后遇到了要多加注意了。

一、

引用:

如果成功，它会删除以下文件:
• %系统驱动器根目录%\*.*
• %当前目录%\*.*

“%当前目录%”是什么路径？我实在没弄明白。还请楼主解释清楚为好。

二、C:\Ntldr.com？
在XP系统下，跟系统启动相关的重要系统文件是同路径下的无扩展名文件ntldr 。
在Vista系统下，同路径下没有Ntldr.com这个“跟系统启动相关的重要系统文件”。
木有win7\win8操作系统，不知同路径下是否有该文件。
个人感觉是楼主笔误（应为C:\ntldr或C:\Ntdetect.com），或该病毒本身排斥其它病毒在%systemroot%目录下释放的ntldr.com文件，但ntldr.com不是系统启动相关的重要系统文件。

建议楼主完善分析后再发布。