瑞星卡卡安全论坛技术交流区可疑文件交流 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

12   1  /  2  页   跳转

2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

这种病毒类似鬼影病毒,我试过低级格盘,用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区,拔过主板电池放电 换掉内存 就差换主板了!重装系统后下载文件依然是243K出现,这个243K文件运行后在C:\WINDOWS\system  生成4个文件一.MSAPI  (设备驱动程序) 259K 二.WINDNSAPI.IME  (IME)文件 44K  三.MSSETUP.TSK  (TSK文件)244K  同时在C:\Documents and Settings\Administrator\Local Settings\Temp 会随着你对系统操作产生病毒文件上面4个文件其中的或许还有其他的太多了没记录下 随后系统会遭到破坏 网站中文字被变成框框就像正方形□□杀毒软件都变了!搞这个毒我快疯掉了好久了!我这边有下载下来的病毒安装文件243K那个我打了压缩包,那位大侠敢接过去研究下!!!!补充下,此病毒局域网感染,可以感染无盘服务器!
二。用鬼影专杀没用,检测不到  硬盘用工具查看扇区一堆数字和编码真不知道哪个是正确的! 用多种工具刷过    mbr和修复引导扇区 我不知道病毒是不是可以保护刷写还是老版的重写引导软件没有效果 !
三。病毒跟踪日志:今天又发现一个新情况由杀毒软件拦截的一个病毒名为mupdate.exe 此文件寄生在360safe\safemon\mupdate.exe 中 我只要初次点开IE 首页为hao123 在里面百度搜索 点击搜索便会自动转到下载 启动迅雷 和系统自带的下载器 下载243K文件!
我截了图在上面!
希望大家能帮帮忙,再百度以发表此文 可惜啊还没有一个通用的解决办法!


百事灵回复:请升级瑞星至最新版本后查杀。

附件附件:

您所在的用户组无法下载或查看附件

最后编辑百事灵 最后编辑于 2010-08-03 15:21:31
分享到:
gototop
 

回复:2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

为什么是发到站务来了?
老板啊,在家里的电脑按CTRL+C,到公司电脑按CTRL+V是粘贴不上的。。。对。。对对。。肯定不行,再贵电脑也不行。。。不不不。。。你速度再快也不行。。。
gototop
 

回复 1F 有毒有丈夫 的帖子

发正有强人解决病毒就好!!发到这看看这边有没强人解决下!!
声明:下面的附件不是专业杀毒强人不要乱下载打开,中了毒别骂我!!这毒好厉害!
gototop
 

回复:2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

刚进来这个论坛不晓得 我是乡下来的 不好意识了发错地方包涵!!
gototop
 

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)



引用:
原帖由 有毒有丈夫 于 2010-7-23 22:44:00 发表
这种病毒类似鬼影病毒,我试过低级格盘,用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区,拔过主板电池放电 换掉内存 就差换主板了!重装系统后下载文件依然是243K出现,这个243K文件运行后在C:\WINDOWS\system   生成4个文件一.MSAPI   (设备驱动程序) 259K 二.WINDNSAPI.IME   (IME)文件  





用IceSword可以轻易搞掂此毒。操作流程如下:

1、强制删除%Windows%\system目录下的病毒文件(见图)



 附件: 您所在的用户组无法下载或查看附件

2、删除病毒添加的服务项:
展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
删除mssystem



 附件: 您所在的用户组无法下载或查看附件
展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

删除:pendinfilerenameoptions




 附件: 您所在的用户组无法下载或查看附件
最后编辑baohe 最后编辑于 2010-07-24 15:06:12
gototop
 

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

大版主!!你那些附件我们低级的看不见啊?能不能发看的见的那种啊!!多谢!!
您的办法先试用用勒!!再次感谢! 看看再说吧!
gototop
 

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

首先病毒会创建如下文件
%Windir%\system\MSAPI.DRV
%Windir%\system\MSSETUP.TSK
%Windir%\system\WINDNSAPI.IME
%Windir%\system\MSWINDOW.DRV
病毒文件插入如下系统进程
msApi.drv%Windir%\system\msApi.drvProcess name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1ED0000 - 0x1F1E000


windnsapi.ime%Windir%\system\windnsapi.imeProcess name: msmsgs.exe
Process filename: %ProgramFiles%\messenger\msmsgs.exe
Address space: 0x10000000 - 0x1000C000


windnsapi.ime%Windir%\system\windnsapi.imeProcess name: sdnsmain.exe
Process filename: %Windir%\dns\sdnsmain.exe
Address space: 0x14E0000 - 0x14EC000


windnsapi.ime%Windir%\system\windnsapi.imeProcess name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1940000 - 0x194C000


注册表文件分析 ,病毒创建了如下注册表键值并修改

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
    • *NewlyCreated* = 0x00000000
    • ActiveService = "msSystem"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000]
    • Service = "msSystem"
    • Legacy = 0x00000001
    • ConfigFlags = 0x00000000
    • Class = "LegacyDriver"
    • ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    • DeviceDesc = "System device driver"
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM]
    • NextInstance = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Enum]
    • 0 = "Root\LEGACY_MSSYSTEM\0000"
    • Count = 0x00000001
    • NextInstance = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Security]
    • Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem]
    • Type = 0x00000001
    • Start = 0x00000002
    • ErrorControl = 0x00000001
    • ImagePath = "%Windir%\system\MSSYSTEM.DRV"
    • DisplayName = "System device driver"
    • version = "Jun 15 2010"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
    • *NewlyCreated* = 0x00000000
    • ActiveService = "msSystem"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000]
    • Service = "msSystem"
    • Legacy = 0x00000001
    • ConfigFlags = 0x00000000
    • Class = "LegacyDriver"
    • ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    • DeviceDesc = "System device driver"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM]
    • NextInstance = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Enum]
    • 0 = "Root\LEGACY_MSSYSTEM\0000"
    • Count = 0x00000001
    • NextInstance = 0x00000001
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Security]
    • Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem]
    • Type = 0x00000001
    • Start = 0x00000002
    • ErrorControl = 0x00000001
    • ImagePath = "%Windir%\system\MSSYSTEM.DRV"
    • DisplayName = "System device driver"
    • version = "Jun 15 2010"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent]
    • Compatible = "Compatible win32 186.103.69.35"
  • 这个是个百度论坛的朋友用虚拟机启动病毒分析到的!和大版主的分析有出入!!
gototop
 

回复:2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

样本已反馈瑞星相关部门分析
gototop
 

回复 7F 有毒有丈夫 的帖子

你仔细看看,这些修改注册表动作会有什么结果
gototop
 

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表)

今天又发现了一个可怕的事情,我拔掉硬盘!然后插入PE启动光盘!然后用PE系统下载文件,前提是单独的网络进行下载 就一台主机 然后下载文件依然会被改变成243K的文件!内存大家想下关闭计算机后 里面数据清空了 没理由还有毒!!主板CIH病毒?但是中毒特征不像?我试过用拨号上网就用猫直接连 或加上路由连接 结果都一样,我想猫没有中毒的例子?难道是电信问题!!迷惑勒!!
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT