IP-58.53.128.47 %System32%\amcal\lsass.exe -New.Malware.U

今天突然遇到病毒, Mcafee报告: New.Malware.U, 同时在\Document and Setting\%User%\Local Settings\Temp\目录下生成 xxxxxxx.exe文件, 允许在安全模式下删除;
保持断开网络连接状态,无异常;
启用网络连接后,Mcafee再次报告,同上

后经分析, 病毒自动生成文件 %System32%\amcal\lsass.exe, 该文件自动与主机(58.53.128.47)创建通讯,端口80;
上述文件拒绝在正常运行的系统中正常访问, 中毒系统为XP, 切换到2003正常启动模式,依旧无法删除该文件, 最终将通过2003安全模式将该文件删除, 并见文件打包上传, 希望对你们分析有帮助! (随后上传)

附件为病毒,请谨慎!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NETSPX1; MAXTHON 2.0)

事件类型: 错误
事件来源: Alert Manager Event Interface
事件种类: 无
事件 ID: 257
日期:  2008-8-3
事件:  16:21:23
用户:  N/A
计算机: CCNPSERVER
描述:
VirusScan Enterprise: 文件 C:\Documents and Settings\Administrator\Local Settings\Temp\48734.exe 已感染病毒 New Malware.u 特洛伊。没有可用的清除程序,隔离失败。检测使用的扫描引擎版本为 5200,DAT 版本为 5208。. (来自 *** IP 192.168.1.2 用户 ***\Administrator 正在运行 VirusScan Enter8.0OAS)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑ccnp_server 最后编辑于 2008-08-03 16:46:27