【原创】新威金rundl132.exe大小41,319 字节，请大家注意安全！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】新威金rundl132.exe大小41,319 字节，请大家注意安全！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【原创】新威金rundl132.exe大小41,319 字节，请大家注意安全！

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2006-12-13 17:55 \| 显示全部短消息资料字号：小中大 1楼【原创】新威金rundl132.exe大小41,319 字节，请大家注意安全！新威金41,319 字节，受感染文件头部会增加41,3192=82,638字节大小，请大家注意安全！ 2006-12-13 17:38 本贴出自我的博客：http://hi.baidu.com/killvir/blog/item/c45c1bd50bcfadc450da4b2e.html 样本大小：41,319 字节 SHA-160 : D1F7504D04FD0524B38F732BA3353B238831273C MD5 : 8E2E8BBE0F607B51EA5E644F34F81F48 CRC-32 : 9A13D94A 加壳方式：Upack 发现时间：2006.12 卡巴斯基报毒：Worm.Win32.Viking.bg 传播方式：通过恶意网页传播、其它木马下载样本分析： \%windows%\Dll.dll \%windows%\rundl132.exe 创建启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="%Windows%\rundl132.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] "auto"="1" 感染特色：遍历目录感染exe文件，将自身捆绑在exe文件前端两次41,319 字节2=82638字节，并在所到目录下生成_desktop.ini文件，图标资源不变（PS：病毒作者修正了这一点，为了迷惑受害者？）生成%Windows%\Logo1_.exe常驻内存，并释放%Temp%\$$??.bat“还原”被感染文件，bat内容为： :try1 Del "被感染文件.exe" if exist "被感染文件.exe" goto try1 ren "被感染文件.exe.exe" "原文件.exe" if exist "被感染文件.exe.exe" goto try2 "原文件.exe" :try2 del "%Temp%\$$??.bat" 另外此威金病毒从网站下载的其它木马病毒不在讨论之列 hxxp://60.190.222.250/ma/0.txt hxxp://60.190.222.250/ma/0.exe hxxp://60.190.222.250/ma/1.txt hxxp://60.190.222.250/ma/1.exe hxxp://60.190.222.250/ma/2.txt hxxp://60.190.222.250/ma/2.exe hxxp://60.190.222.250/ma/3.txt hxxp://60.190.222.250/ma/3.exe hxxp://60.190.222.250/ma/4.txt hxxp://60.190.222.250/ma/4.exe hxxp://60.190.222.250/ma/5.txt hxxp://60.190.222.250/ma/5.exe hxxp://60.190.222.250/ma/6.txt hxxp://60.190.222.250/ma/6.exe hxxp://60.190.222.250/ma/7.txt hxxp://60.190.222.250/ma/7.exe hxxp://60.190.222.250/ma/8.txt hxxp://60.190.222.250/ma/8.exe hxxp://60.190.222.250/ma/9.txt hxxp://60.190.222.250/ma/9.exe 清除步骤 ========== 1. 建议使用反病毒软件清除，可以启动进入安全模式全盘扫描 2. 还可以使用Viking专杀工具本贴出自我的博客：http://hi.baidu.com/killvir/blog/item/c45c1bd50bcfadc450da4b2e.html 2006-12-14 14:07:12
艾玛大版主帖子:18894 注册: 2004-01-01 来自:	分享到：

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2006-12-14 13:58 \| 显示全部短消息资料字号：小中大 2楼瑞星已支持查杀并修复（看图）附件: 文件名:24602220061214134918.JPG 下载次数:244 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-14 13:58:10 描述:
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

大版主

帖子:18894
注册: 2004-01-01
来自:

卡卡名人堂

论坛9周年纪念

发表于： 2006-12-14 14:03 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【不言放弃的贴子】【回复“艾玛”的帖子】
瑞星动作还是蛮快的嘛
………………

PS：有密渠道直接联系，加快反应处理速度

gototop

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT