1   1  /  1  页   跳转

一个.bat病毒与RIS210的故事

一个.bat病毒与RIS210的故事

说是P处理,实际是个脚本病毒。

此.bat样本来自卡饭。

附件: 1.rar (2009-7-27 16:08:11, 792 B)
该附件被下载次数 325




测试所用RIS2010病毒库:22.05.06.13。RIS2010不报毒。


这个.bat运行后,在C:\WINDOWS\system32\config\目录下释放:

1、winlogon.vbs,此vbs含病毒下载地址:http://cyswlj.b121.53dns.com/sy/sy.exe(可下载)

2、svchost.vbs,此vbs含病毒下载地址:http://cyswlj03.host067.e80888.com/sy/pv.exe(此地址已经失效)

用RIS2010扫描 sy.exe(自解压包),可杀掉其中的几个病毒,但RIS2010并未“斩尽杀绝”。

运行RIS2010查杀过的sy.exe,可见下列报错(因为病毒已经被RIS2010干掉)。


再往下看,病毒释放到当前用户临时文件夹中的ClickerAgent(1x430sdfsd33).exe已经运行起来了。此时,RIS2010主动防御报警,但无论用户点击“阻止”还是点击“立即结束”,这个进程并不能立即死掉。


等到病毒进程死掉,它该做的事情已经作完了。




附上RIS2010处理过的sy.exe(sy_RIS2010_treated.rar)。无密码。

附件: sy_RIS2010_treated.rar (2009-7-27 16:08:11, 124.86 K)
该附件被下载次数 348



用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-07-27 16:17:35
分享到:
gototop
 

回复:一个.bat病毒与RIS210的故事

学习了
gototop
 

回复:一个.bat病毒与RIS210的故事

您的问题已收集,欢迎您继续测试。
gototop
 

回复:一个.bat病毒与RIS210的故事

此毒可被Tiny直接弄死


最后编辑baohe 最后编辑于 2009-08-07 21:49:12
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT