2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

瑞星卡卡安全论坛技术交流区 可疑文件交流 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

本主题由管理员麦青儿于 2010-7-26 9:27:19 执行 delposts 操作

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-23 22:44 \| 只看楼主短消息资料字号：小中大 1楼 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）这种病毒类似鬼影病毒，我试过低级格盘，用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区，拔过主板电池放电换掉内存就差换主板了！重装系统后下载文件依然是243K出现，这个243K文件运行后在C:\WINDOWS\system 生成4个文件一.MSAPI （设备驱动程序） 259K 二.WINDNSAPI.IME （IME）文件 44K 三.MSSETUP.TSK （TSK文件）244K 同时在C:\Documents and Settings\Administrator\Local Settings\Temp 会随着你对系统操作产生病毒文件上面4个文件其中的或许还有其他的太多了没记录下随后系统会遭到破坏网站中文字被变成框框就像正方形□□杀毒软件都变了！搞这个毒我快疯掉了好久了！我这边有下载下来的病毒安装文件243K那个我打了压缩包，那位大侠敢接过去研究下！！！！补充下，此病毒局域网感染，可以感染无盘服务器！二。用鬼影专杀没用,检测不到硬盘用工具查看扇区一堆数字和编码真不知道哪个是正确的! 用多种工具刷过 mbr和修复引导扇区我不知道病毒是不是可以保护刷写还是老版的重写引导软件没有效果！三。病毒跟踪日志：今天又发现一个新情况由杀毒软件拦截的一个病毒名为mupdate.exe 此文件寄生在360safe\safemon\mupdate.exe 中我只要初次点开IE 首页为hao123 在里面百度搜索点击搜索便会自动转到下载启动迅雷和系统自带的下载器下载243K文件！我截了图在上面！希望大家能帮帮忙，再百度以发表此文可惜啊还没有一个通用的解决办法！百事灵回复：请升级瑞星至最新版本后查杀。附件: 您所在的用户组无法下载或查看附件百事灵最后编辑于 2010-08-03 15:21:31
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	分享到：

直升战斗龙强壮不惑狮帖子:1519 注册: 2008-07-19 来自:标题党	发表于： 2010-07-23 22:46 \| 短消息资料字号：小中大 2楼回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）为什么是发到站务来了？老板啊，在家里的电脑按CTRL+C，到公司电脑按CTRL+V是粘贴不上的。。。对。。对对。。肯定不行，再贵电脑也不行。。。不不不。。。你速度再快也不行。。。
直升战斗龙强壮不惑狮帖子:1519 注册: 2008-07-19 来自:标题党

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-23 22:50 \| 只看楼主短消息资料字号：小中大 3楼回复 1F 有毒有丈夫的帖子发正有强人解决病毒就好！！发到这看看这边有没强人解决下！！声明：下面的附件不是专业杀毒强人不要乱下载打开，中了毒别骂我！！这毒好厉害！
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-23 22:52 \| 只看楼主短消息资料字号：小中大 4楼回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）刚进来这个论坛不晓得我是乡下来的不好意识了发错地方包涵！！
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-07-24 15:04 \| 短消息资料字号：小中大 5楼回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）引用: 原帖由有毒有丈夫于 2010-7-23 22:44:00 发表这种病毒类似鬼影病毒，我试过低级格盘，用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区，拔过主板电池放电换掉内存就差换主板了！重装系统后下载文件依然是243K出现，这个243K文件运行后在C:\WINDOWS\system 生成4个文件一.MSAPI （设备驱动程序） 259K 二.WINDNSAPI.IME （IME）文件用IceSword可以轻易搞掂此毒。操作流程如下： 1、强制删除%Windows%\system目录下的病毒文件（见图）附件: 您所在的用户组无法下载或查看附件 2、删除病毒添加的服务项：展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ 删除mssystem 附件: 您所在的用户组无法下载或查看附件展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 删除：pendinfilerenameoptions 附件: 您所在的用户组无法下载或查看附件 baohe 最后编辑于 2010-07-24 15:06:12
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-24 21:03 \| 只看楼主短消息资料字号：小中大 6楼回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）大版主！！你那些附件我们低级的看不见啊？能不能发看的见的那种啊！！多谢！！您的办法先试用用勒！！再次感谢！看看再说吧！
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:

初生襁褓狮

帖子:17
注册: 2010-07-23
来自:

发表于： 2010-07-24 22:08 | 只看楼主 短消息资料

字号：小中大 7楼

回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

首先病毒会创建如下文件
%Windir%\system\MSAPI.DRV
%Windir%\system\MSSETUP.TSK
%Windir%\system\WINDNSAPI.IME
%Windir%\system\MSWINDOW.DRV
病毒文件插入如下系统进程

msApi.drv

%Windir%\system\msApi.drv

Process name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1ED0000 - 0x1F1E000

windnsapi.ime

%Windir%\system\windnsapi.ime

Process name: msmsgs.exe
Process filename: %ProgramFiles%\messenger\msmsgs.exe
Address space: 0x10000000 - 0x1000C000

windnsapi.ime

%Windir%\system\windnsapi.ime

Process name: sdnsmain.exe
Process filename: %Windir%\dns\sdnsmain.exe
Address space: 0x14E0000 - 0x14EC000

windnsapi.ime

%Windir%\system\windnsapi.ime

Process name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1940000 - 0x194C000

注册表文件分析，病毒创建了如下注册表键值并修改

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
- *NewlyCreated* = 0x00000000
- ActiveService = "msSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM\0000]
- Service = "msSystem"
- Legacy = 0x00000001
- ConfigFlags = 0x00000000
- Class = "LegacyDriver"
- ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
- DeviceDesc = "System device driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSYSTEM]
- NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Enum]
- 0 = "Root\LEGACY_MSSYSTEM\0000"
- Count = 0x00000001
- NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem\Security]
- Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msSystem]
- Type = 0x00000001
- Start = 0x00000002
- ErrorControl = 0x00000001
- ImagePath = "%Windir%\system\MSSYSTEM.DRV"
- DisplayName = "System device driver"
- version = "Jun 15 2010"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000\Control]
- *NewlyCreated* = 0x00000000
- ActiveService = "msSystem"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM\0000]
- Service = "msSystem"
- Legacy = 0x00000001
- ConfigFlags = 0x00000000
- Class = "LegacyDriver"
- ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
- DeviceDesc = "System device driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSYSTEM]
- NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Enum]
- 0 = "Root\LEGACY_MSSYSTEM\0000"
- Count = 0x00000001
- NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem\Security]
- Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem]
- Type = 0x00000001
- Start = 0x00000002
- ErrorControl = 0x00000001
- ImagePath = "%Windir%\system\MSSYSTEM.DRV"
- DisplayName = "System device driver"
- version = "Jun 15 2010"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent]
- Compatible = "Compatible win32 186.103.69.35"
这个是个百度论坛的朋友用虚拟机启动病毒分析到的！和大版主的分析有出入！！

万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123	发表于： 2010-07-25 09:51 \| 短消息资料字号：小中大 8楼回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）样本已反馈瑞星相关部门分析
万事达社区嘉宾帖子:23068 注册: 2007-08-17 来自:123

是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰	发表于： 2010-07-25 16:05 \| 短消息资料字号：小中大 9楼回复 7F 有毒有丈夫的帖子你仔细看看，这些修改注册表动作会有什么结果 My Blog
是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-27 22:47 \| 只看楼主短消息资料字号：小中大 10楼回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）今天又发现了一个可怕的事情，我拔掉硬盘！然后插入PE启动光盘！然后用PE系统下载文件，前提是单独的网络进行下载就一台主机然后下载文件依然会被改变成243K的文件！内存大家想下关闭计算机后里面数据清空了没理由还有毒！！主板CIH病毒？但是中毒特征不像？我试过用拨号上网就用猫直接连或加上路由连接结果都一样，我想猫没有中毒的例子？难道是电信问题！！迷惑勒！！
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	发表于： 2010-07-23 22:44 \| 只看楼主短消息资料字号：小中大 1楼 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）这种病毒类似鬼影病毒，我试过低级格盘，用过扇区修复工具bootsect和Win BootV3.1 用多种PE盘带的工具恢复MBR和修复引导扇区，拔过主板电池放电换掉内存就差换主板了！重装系统后下载文件依然是243K出现，这个243K文件运行后在C:\WINDOWS\system 生成4个文件一.MSAPI （设备驱动程序） 259K 二.WINDNSAPI.IME （IME）文件 44K 三.MSSETUP.TSK （TSK文件）244K 同时在C:\Documents and Settings\Administrator\Local Settings\Temp 会随着你对系统操作产生病毒文件上面4个文件其中的或许还有其他的太多了没记录下随后系统会遭到破坏网站中文字被变成框框就像正方形□□杀毒软件都变了！搞这个毒我快疯掉了好久了！我这边有下载下来的病毒安装文件243K那个我打了压缩包，那位大侠敢接过去研究下！！！！补充下，此病毒局域网感染，可以感染无盘服务器！二。用鬼影专杀没用,检测不到硬盘用工具查看扇区一堆数字和编码真不知道哪个是正确的! 用多种工具刷过 mbr和修复引导扇区我不知道病毒是不是可以保护刷写还是老版的重写引导软件没有效果！三。病毒跟踪日志：今天又发现一个新情况由杀毒软件拦截的一个病毒名为mupdate.exe 此文件寄生在360safe\safemon\mupdate.exe 中我只要初次点开IE 首页为hao123 在里面百度搜索点击搜索便会自动转到下载启动迅雷和系统自带的下载器下载243K文件！我截了图在上面！希望大家能帮帮忙，再百度以发表此文可惜啊还没有一个通用的解决办法！百事灵回复：请升级瑞星至最新版本后查杀。附件: 您所在的用户组无法下载或查看附件百事灵最后编辑于 2010-08-03 15:21:31
有毒有丈夫初生襁褓狮帖子:17 注册: 2010-07-23 来自:	分享到：

瑞星卡卡安全论坛技术交流区可疑文件交流 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

附件:

您所在的用户组无法下载或查看附件

回复：2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复 1F 有毒有丈夫 的帖子

回复：2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复：2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复 7F 有毒有丈夫 的帖子

回复: 2010最牛病毒 可能是鬼影变种了6月最新中毒(不是转载同一人发表）

瑞星卡卡安全论坛技术交流区可疑文件交流 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复 1F 有毒有丈夫的帖子

回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复：2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）

回复 7F 有毒有丈夫的帖子

回复: 2010最牛病毒可能是鬼影变种了6月最新中毒(不是转载同一人发表）