关于worm.diskgen新变种 bbs.ikaka.com

baohe - 2007-1-18 9:53:00

瑞星19.06.30还查不到。
此外，中了这个变种后，常用扫日志工具扫出的日志中没什么异常发现。
释放文件：除了在X:\windows\system32\com\文件夹中释放lsass.exe和smss.exe外，还在其它各个分区根目录下释放autorun.inf和pagefile.pif。
感染文件：感染系统分区以外的其它分区中的可执行文件。
注：X为系统分区盘符。

图1：病毒进程

附件: 155847200711894419.jpg

baohe - 2007-1-18 9:54:00

图2：用SSM如此处理后重启系统

附件: 155847200711894512.jpg

baohe - 2007-1-18 9:54:00

图3：重启后用WINRAR删除的病毒文件

附件: 155847200711894544.jpg

baohe - 2007-1-18 9:55:00

需要删除/处理的注册表项：

1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
"d"="C:\\pagefile.pif"
"g"="D:\\pagefile.pif"
2、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\pif
"a"="C:\\pagefile.pif"
"b"="D:\\pagefile.pif"
3、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14875d11-0f90-11d9-963d-00d059c0b859}\Shell\Auto\command
@="F:\\pagefile.pif"
4、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14875d11-0f90-11d9-963d-00d059c0b859}\Shell\AutoRun\command
@="C:\\windows\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL pagefile.pif"
5、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\526\Shell
"ItemPos800x600(1)"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,02,00,00,00,02,\
00,00,00,4c,00,31,00,00,00,00,00,9c,35,82,0a,30,00,49,43,45,53,\
57,4f,7e,31,00,00,34,00,03,00,04,00,ef,be,9c,35,82,0a,9b,35,00,\
80,14,00,00,00,49,00,63,00,65,00,53,00,77,00,6f,00,72,00,64,00,\
31,00,32,00,30,00,5f,00,63,00,6e,00,00,00,18,00,b4,00,00,00,02,\
00,00,00,36,00,31,00,00,00,00,00,9c,35,78,0a,30,00,53,52,45,4e,\
47,00,22,00,03,00,04,00,ef,be,9c,35,78,0a,9b,35,00,80,14,00,00,\
00,53,00,52,00,45,00,6e,00,67,00,00,00,14,00,66,01,00,00,02,00,\
00,00,58,00,32,00,11,66,01,00,26,36,f3,32,20,00,32,30,30,37,31,\
36,7e,31,2e,52,41,52,00,00,3c,00,03,00,04,00,ef,be,26,36,99,33,\
25,36,00,80,14,00,00,00,32,00,30,00,30,00,37,00,31,00,36,00,31,\
00,34,00,32,00,32,00,32,00,32,00,35,00,36,00,2e,00,72,00,61,00,\
72,00,00,00,1c,00,02,00,00,00,3a,00,00,00,4e,00,32,00,6c,e6,02,\
00,26,36,c2,41,20,00,4d,45,44,49,41,53,7e,31,2e,52,41,52,00,00,\
32,00,03,00,04,00,ef,be,26,36,da,41,25,36,00,80,14,00,00,00,4d,\
00,65,00,64,00,69,00,61,00,53,00,75,00,70,00,73,00,2e,00,72,00,\
61,00,72,00,00,00,1c,00,b4,00,00,00,3a,00,00,00,56,00,32,00,e6,\
e3,00,00,22,36,98,4d,20,00,4e,49,4d,41,59,41,7e,31,2e,52,41,52,\
00,00,3a,00,03,00,04,00,ef,be,22,36,ca,4d,21,36,00,80,14,00,00,\
00,6e,00,69,00,6d,00,61,00,79,00,61,00,5f,00,6b,00,69,00,6c,00,\
6c,00,65,00,72,00,2e,00,72,00,61,00,72,00,00,00,1c,00,66,01,00,\
00,3a,00,00,00,4c,00,32,00,00,c0,00,00,2f,36,20,3a,07,00,70,61,\
67,65,66,69,6c,65,2e,70,69,66,00,00,30,00,03,00,04,00,ef,be,30,\
36,a6,3b,2f,36,00,80,14,00,00,00,70,00,61,00,67,00,65,00,66,00,\
69,00,6c,00,65,00,2e,00,70,00,69,00,66,00,00,00,1c,00,02,00,00,\
00,72,00,00,00,48,00,32,00,58,00,00,00,30,36,b6,3c,07,00,41,55,\
54,4f,52,55,4e,2e,49,4e,46,00,2e,00,03,00,04,00,ef,be,30,36,b5,\
3c,2f,36,00,80,14,00,00,00,41,00,55,00,54,00,4f,00,52,00,55,00,\
4e,00,2e,00,49,00,4e,00,46,00,00,00,1a,00,02,00,00,00,72,00,00,\
00,00,00,00,00

鸟儿天上飞 - 2007-1-18 9:56:00

越来越可怕了....大叔啊俺们家的SSM 怎么看不到MD5呢..

万一某些人中毒了...求助都无门啊..

拉风的高手 - 2007-1-18 9:57:00

学习

水樹雨下 - 2007-1-18 9:59:00

又变种了……用冰刃干它怎么样？

baohe - 2007-1-18 10:02:00

引用:

【鸟儿天上飞的贴子】越来越可怕了....大叔啊俺们家的SSM 怎么看不到MD5呢..

万一某些人中毒了...求助都无门啊..
………………

附件: 155847200711895303.jpg

baohe - 2007-1-18 10:02:00

引用:

【鸟儿天上飞的贴子】越来越可怕了....大叔啊俺们家的SSM 怎么看不到MD5呢..

万一某些人中毒了...求助都无门啊..
………………

附件: 155847200711895331.jpg

baohe - 2007-1-18 10:04:00

引用:

【水樹雨下的贴子】又变种了……用冰刃干它怎么样？
………………

IS不能删除autorun.inf和pagefile.pif；即使你预先终止了病毒进程lsass.exe和smss.exe

鸟儿天上飞 - 2007-1-18 10:04:00

谢谢大叔...2.2变化太多了...

鸟儿天上飞 - 2007-1-18 10:06:00

引用:

【baohe的贴子】
IS不能删除autorun.inf和pagefile.pif；即使你预先终止了病毒进程lsass.exe和smss.exe
………………

autorun.inf 这里面是什么内容啊...结束病毒进程之后清理注册表删除 lsass.exe和smss.exe

然后右键打开磁盘会感染吗? 不感染的话直接可以删除吗?

baohe - 2007-1-18 10:11:00

引用:

【鸟儿天上飞的贴子】
autorun.inf 这里面是什么内容啊...结束病毒进程之后清理注册表删除 lsass.exe和smss.exe

然后右键打开磁盘会感染吗? 不感染的话直接可以删除吗?
………………

[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell\Auto\command=pagefile.pif

没试。直接用WINRAR删除了。

鸟儿天上飞 - 2007-1-18 10:13:00

能删除就好..hoho

影子110 - 2007-1-18 10:29:00

autorun.inf

对于这个,我在一个网站上看到一个方法,不知是否可行,

在每个盘根目录上新建个与它同名的文件夹~~~

那么这个autorun.inf文件就无法创建了~(利用XP的特性~)

baohe - 2007-1-18 10:33:00

引用:

【影子110的贴子】autorun.inf

对于这个,我在一个网站上看到一个方法,不知是否可行,

在每个盘根目录上新建个与它同名的文件夹~~~

那么这个autorun.inf文件就无法创建了~(利用XP的特性~)

………………

“深山红叶”的免疫工具就是这么做。有效。

spiritfire - 2007-1-18 16:52:00

引用:

【baohe的贴子】
“深山红叶”的免疫工具就是这么做。有效。
………………

猫叔能否写一篇SSM的经验性文章，拯救俺万千菜鸟于水火之中啊。。。

baohe - 2007-1-18 16:59:00

引用:

【spiritfire的贴子】
猫叔能否写一篇SSM的经验性文章，拯救俺万千菜鸟于水火之中啊。。。
………………

想写,但一直没动手.

原因:
1/SSM还在不断更新版本.
2/不少人不愿意用SSM(嫌它烦人)
3/还有人说SSM与瑞星的墙冲突. 因此断定: 像我这样的SSM粉丝是极少数.所以...........

FCOME - 2007-1-18 17:11:00

引用:

【baohe的贴子】
想写,但一直没动手.

原因:
1/SSM还在不断更新版本.
2/不少人不愿意用SSM(嫌它烦人)
3/还有人说SSM与瑞星的墙冲突. 因此断定: 像我这样的SSM粉丝是极少数.所以...........
………………

请问：SSM的密锁问题怎么解决
到使用期了,怎么办

baohe斑竹给支个招

baohe - 2007-1-18 17:24:00

【回复“FCOME”的帖子】
悄悄话回复你了
这里不能讨论这类问题（犯规）

spiritfire - 2007-1-18 17:24:00

引用:

【baohe的贴子】
想写,但一直没动手.

原因:
1/SSM还在不断更新版本.
2/不少人不愿意用SSM(嫌它烦人)
3/还有人说SSM与瑞星的墙冲突. 因此断定: 像我这样的SSM粉丝是极少数.所以...........
………………

一直期待啊，还是希望猫叔能考虑下.......

影子110 - 2007-1-18 21:53:00

引用:

【spiritfire的贴子】

一直期待啊，还是希望猫叔能考虑下.......
………………

其实现在的SSM的操作和老版本,差不了多少~

而且,它现在的汉化的程度也很高~也比较容易能理解~

applechen - 2007-1-19 3:27:00

SSM使用并不难,难就难在注册表类那些放行,那些要阻止吧
另请教猫叔,我的看不到日志的是怎回事呢?

附件: 696020200711931816.JPG

鸟儿天上飞 - 2007-1-20 6:32:00

引用:

【baohe的贴子】
想写,但一直没动手.

原因:
1/SSM还在不断更新版本.
2/不少人不愿意用SSM(嫌它烦人)
3/还有人说SSM与瑞星的墙冲突. 因此断定: 像我这样的SSM粉丝是极少数.所以...........
………………

偶不知道他和不瑞星的墙冲突..俺们家的电脑装2.2.0.604以前的版本..不能连网一连网就重起咯..

rcjwildwolf - 2007-4-6 9:58:00

此贴我要致顶了
看来我要用此办法试试

gogo57 - 2007-5-5 22:06:00

【回复“baohe”的帖子】猫叔,你帮我远程下看看吧!!555555555555555555555555555555555555555

Enix - 2007-5-5 22:17:00

搭车问下%temp%目录的具体作用是什么，我上次把这个目录的所有访问权都删除了不影响上网，如果这样的话可以预防一些病毒哦

瑞星卡卡安全论坛