來自深度的樣本,目前各杀软件均无法彻底删除的木马病毒~~
该木马下载器的感染源具体位置目前不明,由感染源洐生出来的三个文件bai.BAT、bai.VBS、help.dll,会在C盘的HELP文件夹中逐个生成,然后在某个木马网站大量的下载病毒,重装系统或者格式化C盘后,一样会随时生成这个文件。试过用杀软件查杀,但只能将bai.BAT、bai.VBS、help.dll删除,过后又能自动生成,并且在试过勾除了隐藏受保护系统文件的设置选项后对其他盘进行查找,也没有发现任何可疑文件。该病毒出现的时间大约已有2到3年,目前还没有真正可以将它清除的方法(病毒的具体情况在网上都能查得到),只能通过组策略禁止由病毒主体洐生出来三个文件运行,杀毒软件无法将病毒主体清除。
http://bbs.vc52.cn/attachment.php?aid=48205&k=e0e99cf023b4f9becc132b28222b36cf&t=1235667587
附件:
您所在的用户组无法下载或查看附件文件 ____________.rar 接收于 2009.02.26 18:06:18 (CET)
当前状态: 正在读取 ... 队列中 等待中 扫描中 完成 未发现 停止
结果:
10/38 (26.32%)
正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___
之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
格式化文本
打印结果 
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 (
自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果 |
| a-squared | 4.0.0.101 | 2009.02.26 | VBS.Small.ELS!IK |
| AntiVir | 7.9.0.93 | 2009.02.26 | VBS/Small.ELS |
| Authentium | 5.1.0.4 | 2009.02.26 | BAT/Small.O |
| Avast | 4.8.1335.0 | 2009.02.25 | BV:Malware-gen |
| AVG | 8.0.0.237 | 2009.02.26 | - |
| BitDefender | 7.2 | 2009.02.26 | - |
| CAT-QuickHeal | 10.00 | 2009.02.26 | - |
| ClamAV | 0.94.1 | 2009.02.26 | - |
| Comodo | 986 | 2009.02.20 | - |
| DrWeb | 4.44.0.09170 | 2009.02.26 | - |
| eSafe | 7.0.17.0 | 2009.02.26 | - |
| eTrust-Vet | 31.6.6375 | 2009.02.26 | - |
| F-Prot | 4.4.4.56 | 2009.02.26 | BAT/Small.O |
| F-Secure | 8.0.14470.0 | 2009.02.26 | - |
| Fortinet | 3.117.0.0 | 2009.02.26 | - |
| GData | 19 | 2009.02.26 | BV:Malware-gen |
| Ikarus | T3.1.1.45.0 | 2009.02.26 | VBS.Small.ELS |
| K7AntiVirus | 7.10.648 | 2009.02.26 | - |
| Kaspersky | 7.0.0.125 | 2009.02.26 | - |
| McAfee | 5536 | 2009.02.25 | - |
| McAfee+Artemis | 5536 | 2009.02.25 | - |
| Microsoft | 1.4306 | 2009.02.26 | - |
| NOD32 | 3893 | 2009.02.26 | BAT/Small.NAB |
| Norman | 6.00.06 | 2009.02.26 | - |
| nProtect | 2009.1.8.0 | 2009.02.26 | - |
| Panda | 10.0.0.10 | 2009.02.26 | - |
| PCTools | 4.4.2.0 | 2009.02.26 | - |
| Prevx1 | V2 | 2009.02.26 | - |
| Rising | 21.18.32.00 | 2009.02.26 | - |
| SecureWeb-Gateway | 6.0.0 | 2009.02.26 | Script.Small.ELS |
| Sophos | 4.39.0 | 2009.02.26 | VBS/Small-ELS |
| Sunbelt | 3.2.1858.2 | 2009.02.25 | - |
| Symantec | 10 | 2009.02.26 | - |
| TheHacker | 6.3.2.5.265 | 2009.02.25 | - |
| TrendMicro | 8.700.0.1004 | 2009.02.26 | - |
| VBA32 | 3.12.10.0 | 2009.02.26 | - |
| ViRobot | 2009.2.26.1625 | 2009.02.26 | - |
| VirusBuster | 4.5.11.0 | 2009.02.26 | - |
| 附加信息 |
| File size: 494 bytes |
| MD5...: b841b48775073cd416eb22f2cbd7bbc4 |
| SHA1..: d22d362cab84073f71b61271e9a1247726c808f7 |
| SHA256: 94f2b56ad066639082a013a4d58411aba5f650cb1c9e7cfbf476a1606cb74bbc |
SHA512: 0410638038d3796153d6c17861296e08b146d0cf7b3a177a30d3ed6b5ad4243a
487335f5ffd79b0269bc9a690fa6a3dcfa99df9aa4c1b2bfd4e586768e6e93c3 |
ssdeep: 12:hnrJ8kPuHh5xYTkpl734onASQ0mKD31MDyzRch/QoEoo9AMDqY:hd8MuHZYgL
7I6vQrY3B+hxEZS3Y
|
| PEiD..: - |
TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%) |
| PEInfo: - |
http://www.virustotal.com/zh-cn/analisis/f9128db84197c83e5ef104227d0f3d01用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152)
