刚发现的可疑文件,瑞星不认~
客人拿来的U盘,打开后发现不对劲,
发现AUTORUN。INF
发现有同名的文件夹,查看扩展名后发现为与文件夹同名的。EXE文件,图标也为文件夹。
并且进程中突然加载了多个calc.exe,还有IEXPLORER.exe
瑞星主动防御不断的提示C:\WINDOWS\SYSTEM32\XP-1F1E745A.EXE要修改注册表。
其中XP-(1F1E745A).EXE 括号内的为随机八位数。监控到的记录有几条
C:\WINDOWS\SYSTEM32\XP-75BEB75A.EXE
C:\WINDOWS\SYSTEM32\XP-B4927B0C.EXE
C:\WINDOWS\SYSTEM32\XP-49C153CD.EXE
.
.
.
同时还有
修改内核内存数据
2008-07-24 16:23:02
C:\WINDOWS\SYSTEM32\CALC.EXE
\Device\PhysicalMemory
但是这几个文件用最新病毒库的瑞星还扫描不出有问题, 所以发上来,让大家看看~~~~
解压密码 aopen
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)