客户使用的网络版杀毒软件,有个病毒清除不掉,求助。
病毒样本已经提交到可疑文件分析。(本帖再次上传病毒样本附件,无解压密码)病毒会创建进程:%system%\wscript.exe
只要这个进程在,病毒就无法清除掉,结束掉该进程以后,瑞星是可以查杀的。
以下是火眼的分析报告,望瑞星大神能够分析病毒,出个更新包,不需要每台机器上查杀。对方一共350点。基本信息文件名称:
xxx girlMagazines +18 (3).vbsMD5:
c8b137dcad05a61b780b757790c14d13Sha-1:
1d751c4635214f2b882e6c1294fa957829189d9f文件大小:
164KB创建时间:
2014-06-03 23:28:55文件类型:
VBS
火眼点评 IE 代理服务器设置;搜索指定窗口;查找指定进程;设置文件属性;创建进程;创建互斥体;设置文件权限;添加开机自启动项;在其他进程中申请内存;拷贝自身到其他目录;检测是否存在指定注册表键;遍历磁盘类型
其他行为监控
行为描述:搜索指定窗口
附加信息:
["Indicator" , ""]
行为描述:IE 代理服务器设置
附加信息:
关闭IE代理服务
行为描述:查找指定进程
附加信息:
explorer.exe
行为描述:检测是否存在指定注册表键
附加信息:
HKEY_LOCAL_MACHINE\Software\Microsoft\OleAut
行为描述:拷贝自身到其他目录
附加信息:
%USERPROFILE%\「开始」菜单\程序\启动\xxx girlMagazines +18 (3).vbs
%temp%\xxx girlMagazines +18 (3).vbs
d:\xxx girlMagazines +18 (3).vbs
行为描述:在其他进程中申请内存
附加信息:
%system%\wbem\wmiprvse.exe
%system%\wscript.exe
行为描述:添加开机自启动项
附加信息:
[开始启动目录] - xxx girlMagazines +18 (3).vbs
[NULL] - wscript.exe //B "%temp%\xxx girlMagazines +18 (3).vbs"
[xxx girlMagazines +18 (3)] - wscript.exe //B "%temp%\xxx girlMagazines +18 (3).vbs"
行为描述:设置文件权限
附加信息:
SLESS_PT ----> DACL_SECURITY_INFORMATION
行为描述:创建互斥体
附加信息:
"RPCSS_REGEVENT:{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}"
"WMIPRVSE.EXE"
行为描述:创建进程
附加信息:
%system%\wbem\wmiprvse.exe
%system%\wscript.exe
行为描述:设置文件属性
附加信息:
D:\100-122196914.html >> HIDE
D:\100-122196914.html >> SYSTEM
D:\RECYCLER >> HIDE
D:\RECYCLER >> SYSTEM
D:\calc.exe >> HIDE
D:\calc.exe >> SYSTEM
D:\explorer.exe >> HIDE
D:\explorer.exe >> SYSTEM
D:\xxx girlMagazines +18 (3).vbs >> HIDE
D:\xxx girlMagazines +18 (3).vbs >> SYSTEM
D:\help.htm >> HIDE
D:\help.htm >> SYSTEM
D:\osrloader.exe >> HIDE
D:\osrloader.exe >> SYSTEM
D:\update.zip >> HIDE
D:\update.zip >> SYSTEM
D:\新建文件夹.rar >> HIDE
D:\新建文件夹.rar >> SYSTEM
行为描述:遍历磁盘类型
附加信息:
C:,D:,Z:
文件操作监控[td]
| 操作 | 文件MD5 | 文件大小 | 文件路径 |
| 新增 | fe8b68fa92e985e1183c1d3a97550778 | 589 | D:\\System Volume Information.lnk |
| 新增 | 6712ea13c5b74af86cdc81cc3823d635 | 1345 | D:\\Help.lnk |
| 新增 | d0f070f600f38549b052dc9e78f8371d | 505 | D:\\osrloader.lnk |
| 新增 | 9b1ddaecfb388176508a952676fd3e69 | 501 | D:\\explorer.lnk |
| 新增 | c8b137dcad05a61b780b757790c14d13 | 168393 | D:\\xxx girlMagazines +18 (3).vbs |
| 新增 | 6af55cc6380bf6bf0f9a067bade8500d | 489 | D:\\新建文件夹.lnk |
| 新增 | c8b137dcad05a61b780b757790c14d13 | 168393 | %USERPROFILE%\「开始」菜单\程序\启动\\xxx g... |
| 新增 | 915fe7aaf7bdd53cb61efc848a59835a | 547 | D:\\RECYCLER.lnk |
| 新增 | 107d6630abc6254f506b5a22a5605a8f | 1365 | D:\\100-122196914.lnk |
| 新增 | 67eec4737d8bbc8d14893a0b33e51df3 | 493 | D:\\Update.lnk |
| 新增 | d3032880b616625121209cb32105ab8b | 485 | D:\\calc.lnk |
| 新增 | c8b137dcad05a61b780b757790c14d13 | 168393 | %temp%\\xxx girlMagazines +18 (3)... |
| 修改 | 无 | 0 | %USERPROFILE%\\ntuser.dat |
进程操作监控
创建进程:%system%\wscript.exe
启动参数:"%system%\wscript.exe" //B "%temp%\xxx girlMagazines +18 (3).vbs"
注册表监控- HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[xxx girlMagazines +18 (3)] = [wscript.exe //B "%temp%\xxx girlMagazines +18 (3).vbs"]
- HKEY_LOCAL_MACHINE\\SOFTWARE\xxx girlMagazines +18 (3)[(NULL)] = [false - 2013-1-23]
- HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[xxx girlMagazines +18 (3)] = [wscript.exe //B "%temp%\xxx girlMagazines +18 (3).vbs"]
网络监控- 网络操作[HTTP Request]POST mmoohhaammeedd.no-ip.biz/is-ready
[Open URL]mmoohhaammeedd.no-ip.biz
用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 BIDUBrowser/6.x Safari/537.36
