一个.bat病毒与RIS210的故事
说是P处理,实际是个脚本病毒。
此.bat样本来自卡饭。
附件: 1.rar (2009-7-27 16:08:11, 792 B)
该附件被下载次数 313
测试所用RIS2010病毒库:22.05.06.13。RIS2010不报毒。
这个.bat运行后,在C:\WINDOWS\system32\config\目录下释放:
1、winlogon.vbs,此vbs含病毒下载地址:http://cyswlj.b121.53dns.com/sy/sy.exe(可下载)
2、svchost.vbs,此vbs含病毒下载地址:http://cyswlj03.host067.e80888.com/sy/pv.exe(此地址已经失效)
用RIS2010扫描 sy.exe(自解压包),可杀掉其中的几个病毒,但RIS2010并未“斩尽杀绝”。
运行RIS2010查杀过的sy.exe,可见下列报错(因为病毒已经被RIS2010干掉)。
再往下看,病毒释放到当前用户临时文件夹中的ClickerAgent(1x430sdfsd33).exe已经运行起来了。此时,RIS2010主动防御报警,但无论用户点击“阻止”还是点击“立即结束”,这个进程并不能立即死掉。
等到病毒进程死掉,它该做的事情已经作完了。
附上RIS2010处理过的sy.exe(sy_RIS2010_treated.rar)。无密码。
附件: sy_RIS2010_treated.rar (2009-7-27 16:08:11, 124.86 K)
该附件被下载次数 329
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
