[病毒样本] 微点无法清理干净，瑞星检测不到的几个

jy1665

在求助区发过贴的

[ 本帖最后由 jy1665 于 2008-8-9 16:56 编辑 ]

英文字母

解压缩时，微点报毒，并清除两个木马，只剩下一个Gameeeeeee.vbs，但应该是无毒文件，具体内容如下：
'I LOVE gameee TEAM'I LOVE gameee TEAM
Set Love_gameee = CreateObject("Wscript.Shell")'I LOVE gameee TEAM
'I LOVE gameee TEAM'I LOVE gameee TEAM
Love_gameee.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Gameeeeeee.pif")
'I LOVE gameee TEAM'I LOVE gameee TEAM

下面是费尔的扫描，也同样未报Gameeeeeee.vbs为病毒：
\桌面\病毒.rar>>病毒\Gameeeeeee.pif        Trojan.Cap88817.ufnm            木马        还未处理
\桌面\病毒.rar>>病毒\vgeh.exe        TrojanDownloader.Nurech.bd.bmqk    木马        还未处理

英文字母

补充一下：
微点版本：
微点主动防御软件  预升级
程序版本： 1.2.10576.0038
特征版本： 1.6.809.080809
更新时间： 2008-08-09 16:41:21

费尔的病毒库也是最新的，升级时间：2008-08-09  17:12

悠悠我心

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.08	TR/Crypt.DJ.36
Authentium	5.1.0.4	2008.08.09	W32/Heuristic-210!Eldorado
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.08	KillAV.V
BitDefender	7.2	2008.08.09	Trojan.Crypt.DJ
CAT-QuickHeal	9.50	2008.08.08	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.08.09	PUA.Packed.UPack-2
DrWeb	4.44.0.09170	2008.08.09	MULDROP.Trojan
eSafe	7.0.17.0	2008.08.07	Suspicious File
eTrust-Vet	31.6.6019	2008.08.08	-
Ewido	4.0	2008.08.09	-
F-Prot	4.4.4.56	2008.08.08	W32/Heuristic-210!Eldorado
F-Secure	7.60.13501.0	2008.08.09	W32/Suspicious_U.gen
Fortinet	3.14.0.0	2008.08.09	W32/Heuri.E
GData	2.0.7306.1023	2008.08.09	Trojan-PSW.Win32.QQPass.dcg
Ikarus	T3.1.1.34.0	2008.08.09	Trojan.Crypt.DJ
K7AntiVirus	7.10.408	2008.08.08	-
Kaspersky	7.0.0.125	2008.08.09	Trojan-PSW.Win32.QQPass.dcg
McAfee	5357	2008.08.08	New Malware.aj
Microsoft	1.3807	2008.08.09	Trojan:Win32/Dogrobot.gen!H
NOD32v2	3341	2008.08.08	-
Norman	5.80.02	2008.08.08	W32/Suspicious_U.gen
Panda	9.0.0.4	2008.08.09	Suspicious file
PCTools	4.4.2.0	2008.08.08	Packed/Upack
Prevx1	V2	2008.08.09	-
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.09	Mal/Emogen-N
Sunbelt	3.1.1538.1	2008.08.09	VIPRE.Suspicious
Symantec	10	2008.08.09	-
TheHacker	6.2.96.395	2008.08.08	W32/Behav-Heuristic-060
TrendMicro	8.700.0.1004	2008.08.08	PAK_Generic.006
VBA32	3.12.8.3	2008.08.08	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.08	Packed/Upack
Webwasher-Gateway	6.6.2	2008.08.09	Trojan.Crypt.DJ.36

附加信息

File size: 19539 bytes

MD5...: 3d583ef25613302b8399c4bf7748914f

SHA1..: 56f45f547f1e47cf62ef2844b60498d9f4cc24cf

SHA256: 728d4c20fcfe95c010e0b07019c63d73310ab4412d29eec7bebbbff531e8cffd

SHA512: f53cda4498adc8b1adec7645e89679ffe7d33c9bff716ecac0c1458916bb6d64 3f0b42aa305b3bb47eff1a2c95c59082da68035c356c2bdd230c2d7e234cd2b7

PEiD..: -

PEInfo: -

packers (F-Prot): UPack, Unicode

packers (Authentium): UPack

packers (Kaspersky): PE_Patch, UPack, PE_Patch, UPack

墨羽刃

下载者，貌似没有改系统文件，应该不难删除……

baohe

原帖由 墨羽刃 于 2008-8-9 19:46 发表
下载者，貌似没有改系统文件，应该不难删除……

1、此毒改写dllcache目录下的taskmgr.exe。然后，删除system32目录下的taskmgr.exe。如此一来，dllcache和system32目录下的taskmgr.exe统统变为病毒文件。中招用户若盲目调用任务管理器即运行病毒，任务管理器无法打开（真正的任务管理器已不复存在）。
病毒文件taskmgr.exe的MD5: 005ab22c5d9123cc4840eb54ae521a51
XPSP3 正常系统文件taskmgr.exe的MD5: 570d8194f898dac39dd071db0e9db75f
2、在drivers目录下创建病毒驱动ntkapi.sys（估计又是穿还原用的DD）
3、在系统根目录下创建病毒文件mahtesf3.dat
4、在windows目录下创建病毒文件xxxx.exe（注：xxxx为4位随机小写英文字母，每次感染都改变。本次观察，此文病毒件名为cglp.exe）
5、自网络下载大量病毒到system32目录下。文件名为5位随机字母.dat和.exe。
6、改写大量注册表项。

[ 本帖最后由 baohe 于 2008-8-9 21:06 编辑 ]

墨羽刃

嗯……我只看到它删除了system32的taskmgr.exe，后来被winlogon恢复了，不明白它是什么意思，原来是这个意思……

那驱动貌似是穿还原用的，加载后删除。。

[ 本帖最后由 墨羽刃 于 2008-8-10 00:15 编辑 ]

jy1665

这几个病毒都是由一个CK.EXE病毒生成的，但是微点把CK.EXE删除后又会自动生成。

墨羽刃

测试的时候貌似释放了个c:\windows\system32\debug.exe，不知道是windows机制还是什么。程序在打开和关闭的时候均会运行这个c:\windows\system32\debug.exe……

aribeth1999

2008-8-10 11:26:54        http://bbs.janmeng.com/attachment.php?aid=266904//病毒/Gameeeeeee.pif//PE_Patch//UPack Detected: Trojan-PSW.Win32.QQPass.dcg