瑞星卡卡安全论坛技术交流区可疑文件交流 IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Malware.U

1   1  /  1  页   跳转

IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Malware.U

IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Malware.U

今天突然遇到病毒, Mcafee报告: New.Malware.U, 同时在\Document and Setting\%User%\Local Settings\Temp\目录下生成 xxxxxxx.exe文件, 允许在安全模式下删除;
保持断开网络连接状态,无异常;
启用网络连接后,Mcafee再次报告,同上

后经分析, 病毒自动生成文件 %System32%\amcal\lsass.exe, 该文件自动与主机(58.53.128.47)创建通讯,端口80;
上述文件拒绝在正常运行的系统中正常访问, 中毒系统为XP, 切换到2003正常启动模式,依旧无法删除该文件, 最终将通过2003安全模式将该文件删除, 并见文件打包上传, 希望对你们分析有帮助! (随后上传)

附件为病毒,请谨慎!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NETSPX1; MAXTHON 2.0)

事件类型: 错误
事件来源: Alert Manager Event Interface
事件种类: 无
事件 ID: 257
日期:  2008-8-3
事件:  16:21:23
用户:  N/A
计算机: CCNPSERVER
描述:
VirusScan Enterprise: 文件 C:\Documents and Settings\Administrator\Local Settings\Temp\48734.exe 已感染病毒 New Malware.u 特洛伊。没有可用的清除程序,隔离失败。检测使用的扫描引擎版本为 5200,DAT 版本为 5208。. (来自 *** IP 192.168.1.2 用户 ***\Administrator 正在运行 VirusScan Enter8.0OAS)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑ccnp_server 最后编辑于 2008-08-03 16:46:27
分享到:
gototop
 

回复: IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Ma...



引用:
原帖由 ccnp_server 于 2008-8-3 16:44:00 发表
今天突然遇到病毒, Mcafee报告: New.Malware.U, 同时在\Document and Setting\%User%\Local Settings\Temp\目录下生成 xxxxxxx.exe文件, 允许在安全模式下删除;
保持断开网络连接状态,无异常;
启用网络连接后,Mcafee再次报告,同上

后经分析, 病毒自动生成文件 %System32%\amcal\lsass


手工查杀可以参考这个帖子:http://bbs.ikaka.com/showtopic-8528573.aspx

病毒lsass.exe所在路径的目录名%System32%\amcal\与特定的电脑有关。
我在我的电脑中运行过此毒3个不同变种,病毒lsass.exe所在目录均为%System32%\vsk\;此外还有一个目录为%System32%\xllylqait\也是此毒创建的(内有病毒lsass.exe),此目录名也与特定电脑有关(即:不同电脑染此毒后,病毒创建的目录名不同;相同的是----这两个目录名都在都在%System32%目录下)。
最后编辑baohe 最后编辑于 2008-08-04 14:57:32
gototop
 

回复 2F baohe 的帖子

猫叔关于病毒修改注册表的键值,怎样才能快速修复?tiny好像检测不到具体修改的注册表键值。
gototop
 

回复: IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Ma...



引用:
原帖由 networkedition 于 2008-8-4 15:12:00 发表
猫叔关于病毒修改注册表的键值,怎样才能快速修复?tiny好像检测不到具体修改的注册表键值。


病毒写入注册表后,除了那几个日志工具能扫到的,其它的---目前没有简单而有效的办法使注册表完全复原。
gototop
 

回复:IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Ma...

文件名:lsass.exe
病毒名:Trojan.DL.Win32.Undef.alh


您所上报的病毒文件将在瑞星2008的20.56.10版本中处理解决,如遇特殊问题可能会推后几个版本。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT