[病毒样本] 微点无法清理干净,瑞星检测不到的几个
|
 
- UID
- 120366
- 积分
- 1205
- 金元
- 121 JY
- 金分
- 9185 JF
- 活跃度
- 3007
|
[病毒样本] 微点无法清理干净,瑞星检测不到的几个
在求助区发过贴的
[ 本帖最后由 jy1665 于 2008-8-9 16:56 编辑 ] |
|
|
|
|
|
|
|
|

- UID
- 281446
- 积分
- 92
- 金元
- 11 JY
- 金分
- 5441 JF
- 活跃度
- 229
|
沙发
发表于 2008-8-9 18:04
| 只看该作者
解压缩时,微点报毒,并清除两个木马,只剩下一个Gameeeeeee.vbs,但应该是无毒文件,具体内容如下:
'I LOVE gameee TEAM'I LOVE gameee TEAM
Set Love_gameee = CreateObject("Wscript.Shell")'I LOVE gameee TEAM
'I LOVE gameee TEAM'I LOVE gameee TEAM
Love_gameee.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Gameeeeeee.pif")
'I LOVE gameee TEAM'I LOVE gameee TEAM
下面是费尔的扫描,也同样未报Gameeeeeee.vbs为病毒:
\桌面\病毒.rar>>病毒\Gameeeeeee.pif Trojan.Cap88817.ufnm 木马 还未处理
\桌面\病毒.rar>>病毒\vgeh.exe TrojanDownloader.Nurech.bd.bmqk 木马 还未处理 |
|
|
|
|
|
|
|
|

- UID
- 281446
- 积分
- 92
- 金元
- 11 JY
- 金分
- 5441 JF
- 活跃度
- 229
|
板凳
发表于 2008-8-9 18:08
| 只看该作者
补充一下:
微点版本:
微点主动防御软件 预升级
程序版本: 1.2.10576.0038
特征版本: 1.6.809.080809
更新时间: 2008-08-09 16:41:21
费尔的病毒库也是最新的,升级时间:2008-08-09 17:12 |
|
|
|
|
|
|
|
- UID
- 280972
- 积分
- 4
- 金元
- 0 JY
- 金分
- 4069 JF
- 活跃度
- 11
|
5楼
发表于 2008-8-9 19:46
| 只看该作者
|
|
|
|
|
|
|
|
  
- UID
- 166687
- 积分
- 685
- 金元
- 1946 JY
- 金分
- 3680 JF
- 活跃度
- 1661

|
6楼
发表于 2008-8-9 21:01
| 只看该作者
原帖由 墨羽刃 于 2008-8-9 19:46 发表 
下载者,貌似没有改系统文件,应该不难删除……
1、此毒改写dllcache目录下的taskmgr.exe。然后,删除system32目录下的taskmgr.exe。如此一来,dllcache和system32目录下的taskmgr.exe统统变为病毒文件。中招用户若盲目调用任务管理器即运行病毒,任务管理器无法打开(真正的任务管理器已不复存在)。
病毒文件taskmgr.exe的MD5: 005ab22c5d9123cc4840eb54ae521a51
XPSP3 正常系统文件taskmgr.exe的MD5: 570d8194f898dac39dd071db0e9db75f
2、在drivers目录下创建病毒驱动ntkapi.sys(估计又是穿还原用的DD)
3、在系统根目录下创建病毒文件mahtesf3.dat
4、在windows目录下创建病毒文件xxxx.exe(注:xxxx为4位随机小写英文字母,每次感染都改变。本次观察,此文病毒件名为cglp.exe)
5、自网络下载大量病毒到system32目录下。文件名为5位随机字母.dat和.exe。
6、改写大量注册表项。
[ 本帖最后由 baohe 于 2008-8-9 21:06 编辑 ] |
|
|
|
|
|
|
|
- UID
- 280972
- 积分
- 4
- 金元
- 0 JY
- 金分
- 4069 JF
- 活跃度
- 11
|
7楼
发表于 2008-8-10 00:12
| 只看该作者
嗯……我只看到它删除了system32的taskmgr.exe,后来被winlogon恢复了,不明白它是什么意思,原来是这个意思……
那驱动貌似是穿还原用的,加载后删除。。
[ 本帖最后由 墨羽刃 于 2008-8-10 00:15 编辑 ] |
|
|
|
|
|
|
|
|
 
- UID
- 120366
- 积分
- 1205
- 金元
- 121 JY
- 金分
- 9185 JF
- 活跃度
- 3007
|
8楼
发表于 2008-8-10 08:17
| 只看该作者
| 这几个病毒都是由一个CK.EXE病毒生成的,但是微点把CK.EXE删除后又会自动生成。 |
|
|
|
|
|
|
|
- UID
- 280972
- 积分
- 4
- 金元
- 0 JY
- 金分
- 4069 JF
- 活跃度
- 11
|
9楼
发表于 2008-8-10 11:16
| 只看该作者
| 测试的时候貌似释放了个c:\windows\system32\debug.exe,不知道是windows机制还是什么。程序在打开和关闭的时候均会运行这个c:\windows\system32\debug.exe…… |
|
|
|
|
|
|
|
- UID
- 281903
- 积分
- 14
- 金元
- 0 JY
- 金分
- 4054 JF
- 活跃度
- 34
|
10楼
发表于 2008-8-10 11:29
| 只看该作者
|
|
|
|
|
|
|