回复: 请大家查查这是什么病毒!
原帖由 小天使之翼 于 2009-5-30 15:42:00 发表
请大家查查这是什么病毒!
卡巴斯基查为 : 木马程序 Trojan-Downloader.Win32.Agent.cbfl 只能删除文件,不能清除病毒
但网上关于这个病毒的信息少之又少,没有参考价值。请大家帮忙检测一下
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.
你的附件运行后报告“未找到unins000.dat”。(这个unins000.exe可能是被SysAnti.exe感染过的某个程序的卸载程序)
此后,这个所谓卸载程序unins000.exe访问网络,下载一个感染性病毒下载器SysAnti.exe(见附件,密码:123)。
SysAnti.exe运行后,首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后,即刻关闭IceSword、autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项,破坏多种杀软和防火墙加载运行。另:此毒释放多个病毒.dll到%system%目录和%windows%\Fonts目录;释放病毒文件.fon、.ttf到%windows%\Fonts目录;释放病毒文件SysAnti.exe和autorun,inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys;;替换系统程序userinit.exe。此毒感染系统文件以外的所有.exe文件。
这个变种与前些天见到的那个文件大小相同,但MD5有变:
附件:
您所在的用户组无法下载或查看附件若事先禁止病毒文件访问Fonts目录,用Tiny追踪模式运行这个病毒样本,此毒比较容易清理。Fonts目录下的病毒.dll无法创建,此毒的后续动作(包括感染文件等)便无法进行。先结束此毒开启的svchost.exe进程(PID号较大的),删除各分区根目录下的SysAnti.exe和autorun,inf即可
附件:
您所在的用户组无法下载或查看附件
