12   1  /  2  页   跳转

回收站图标病毒2.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-10 17:07 | 只看楼主 短消息 资料
字号: 1楼

回收站图标病毒2.exe

瑞星21.11.51.00病毒库不报毒。

估计还是那个“网际快车”图标的病毒变种。

此毒貌似好防:只要那个c:\windows\下的.txt创建被禁止,病毒的后续动作便无法进行(图1)

 附件: 您所在的用户组无法下载或查看附件

结束其进程及其打开的conime.exe进程(图2)。完事了。

 附件: 您所在的用户组无法下载或查看附件

样本在附件中(密码:123)


 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-01-10 17:19 | 短消息 资料
字号: 2楼

回复:回收站图标病毒2.exe

估计还是那个“网际快车”图标的病毒变种。
岂不是感染型
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-10 17:26 | 只看楼主 短消息 资料
字号: 3楼

回复: 回收站图标病毒2.exe



引用:
原帖由 aaccbbdd 于 2009-1-10 17:19:00 发表
估计还是那个“网际快车”图标的病毒变种。
岂不是感染型  


这个不感染.exe。
而是遍历program files目录,凡存在.exe程序的目录下,均创建一个同名的.exe.com病毒文件(99K)。
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-10 18:19 | 短消息 资料
字号: 4楼

回复 3F baohe 的帖子

怎么都是调是conime.exe的。。

下到虚拟机那里试试

菜鸟学习了
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-10 19:09 | 短消息 资料
字号: 5楼

回复:回收站图标病毒2.exe


猫叔没错

的确是快车病毒的变种

除了感染exe文件之外

还感染了ca hips的文件

看来还要组一些规则阻止这变态的病毒了。。。。

P.S:被感染的病毒除了冰刃和某些工具没变成快车图标外,其他大多都变成快车图彼了。。
最后编辑晕4 最后编辑于 2009-01-10 19:12:19
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-10 19:14 | 短消息 资料
字号: 6楼

回复: 回收站图标病毒2.exe



引用:
原帖由 baohe 于 2009-1-10 17:07:00 发表

此毒貌似好防:只要那个c:\windows\下的.txt创建被禁止,病毒的后续动作便无法进行(图1)



请教猫叔叔怎么样禁止病毒的创建?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-10 19:41 | 只看楼主 短消息 资料
字号: 7楼

回复: 回收站图标病毒2.exe



引用:
原帖由 晕4 于 2009-1-10 19:14:00 发表


引用:
原帖由 baohe 于 2009-1-10 17:07:00 发表

此毒貌似好防:只要那个c:\windows\下的.txt创建被禁止,病毒的后续动作便无法进行(图1)



请教猫叔叔怎么样禁止病毒的创建?


高权限文件防护规则概要:

 附件: 您所在的用户组无法下载或查看附件

object项的内容(如果还要防止无后缀文件创建,再加c:\windows\*):

 附件: 您所在的用户组无法下载或查看附件
最后编辑baohe 最后编辑于 2009-01-10 19:43:17
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-10 20:37 | 短消息 资料
字号: 8楼

回复 7F baohe 的帖子


感谢猫叔

我学习了

添加规则的时候

到底选择哪个

是"Add New Rule"还是"Add New Account Specific Rule"?
gototop
 
tjcum210210
头像
卡卡反病毒小组
  • 帖子:1071
  • 注册: 2006-01-16
  • 来自:清新阳光家附近
发表于: 2009-01-10 21:05 | 短消息 资料
字号: 9楼

回复:回收站图标病毒2.exe

猫叔用的是虚拟系统还是真实系统?虚拟机里调用ntvdm.exe创建tmp文件,我这怎么没有创建txt的动作。。。只有创建tmp
gototop
 
臭臭la
头像
禁止发言
  • 帖子:53
  • 注册: 2009-01-04
  • 来自:
发表于: 2009-01-10 21:11 | 短消息 资料
字号: 10楼

回复:回收站图标病毒2.exe

该用户帖子内容已被屏蔽
遇到什么问题可以到我博客上交流
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT