刚用瑞星查毒，发现中了MayaGirl,好像杀不掉啊，我正版的瑞星！ bbs.ikaka.com

K歌 - 2008-10-23 15:05:00

病毒行为：

运行后会在windows目录生成MayaGirl目录

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

创建病毒文件

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlDll.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

2008-08-10 13:49:04 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlSYS.dat
触发规则:所有程序规则->Block Rule->C:\WINDOWS\*

停止beep服务

2008-08-10 13:49:18 运行应用程序
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:STOP Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe

修改beep.sys

2008-08-10 13:50:46 修改文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\Drivers\beep.sys
触发规则:应用程序规则->Important File->*->%windir%\system32\Drivers\Beep.sys

重新启用beep服务

2008-08-10 13:50:54 运行应用程序
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\NET.exe
命令行:START Beep
触发规则:所有程序规则->System Tool->%windir%\system32\net.exe

创建病毒文件

2008-08-10 13:51:03 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat

删除病毒文件

2008-08-10 13:53:40 删除文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\WINDOWS\MayaGirl\gaga.bat
触发规则:所有程序规则->File Rule->?:\*.bat

创建病毒文件 hash与gaga.bat一致

2008-08-10 13:51:54 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->File Rule->?:\*.exe

SCM 安装服务

2008-08-10 13:53:47 访问服务管理器
进程路径:F:\Once\lo\lo.exe
触发规则:所有程序规则->*

2008-08-10 13:53:51 安装服务或者驱动
进程路径:C:\windows\system32\services.exe
文件路径:C:\windows\MayaGirl\MayaGirlMain.exe
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-08-10 13:53:51 创建注册表值
进程路径:C:\windows\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Services
注册表名称:ImagePath
触发规则:所有程序规则->Service->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

创建bat

2008-08-10 13:54:01 创建文件
进程路径:F:\Once\lo\lo.exe
文件路径:C:\windows\system32\me.bat
触发规则:所有程序规则->File Rule->?:\*.bat

bat 内容

@ech0 off
attrib -h -s -r -a %0
sleep 2000
del "F:\Once\lo\lo.exe"
del %0

关键行为：

向windows目录创建文件

修改beep.sys

安装服务

HIPS防范对策：

阻止陌生程序向windows目录创建文件

阻止陌生程序修改beep.sys

阻止陌生程序通过访问服务管理器安装服务

阻止陌生程序向system32目录创建bat

银色灰烬 - 2008-10-23 15:06:00

建议楼主把这个EXE的文件压缩后上报到"可疑文件"交流区中.可以将这个文件删掉

pantone - 2008-10-23 15:07:00

谢谢LS的
这些我百度搜出一大堆
但是还是不知道怎么删啊

K歌 - 2008-10-23 15:08:00

该病毒属蠕虫类，判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目
录打开,创建目录%Windir%\Tasks，将自身复制到该目录下，判断“%Windir%\Tasks”
目录下是否存在0x01xx8p.exe文件，如存在则将其删除，判断当前进程是否存在
“avp.exe”，如找到则将系统时间修改为2004年1月1日，复制自身到%HomeDrive%
\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并
删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext
然后再保存到%Windir%\explorer.exe，将要感染的病毒代码赋值到缓存,将被感染文
件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,
遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件，遍历固定
磁盘和可移动磁盘，在各个分区根目录下创建隐藏的系统属性文件autorun.inf和
MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒，隐藏开启
IExplore.exe进程连接网络下载大量病毒文件，经分析下载的大量病毒文件多为盗号木
马，使用户的网络虚拟财产遭受损失。

K歌 - 2008-10-23 15:09:00

手工清除请按照行为分析删除对应文件，恢复相关系统设置。　
　 (1)使用ATOOL进程管理结束explorer.exe进程。复制
　　 %system32%\dllcache目录下的explorer.exe文件替换
　　 %Windir%目录下的explorer.exe文件。
　 (2)强行删除病毒衍生的病毒文件：
　　 %Windir%\Tasks\0x01xx8p.exe
　　 %Windir%\Tasks\spoolsv.ext
　　 %Windir%\Tasks\SysFile.brk
　　 %HomeDrive%\MSDOS.bat
　　 %HomeDrive%\autorun.inf
　　 %DriveLetter%\MSDOS.bat
　　 %DriveLetter%\autorun.inf
　 (3)强行删除病毒衍生的病毒文件
　　（注：该病毒下载的病毒列表可能会随时变化）
　　 %system32%\config\mscg13.exe
　　 %system32%\drivers\2h9k6qwl.sys
　　 %system32%\drivers\bs2pmzbdm.sys
　　 %system32%\fo18.dll
　　 %system32%\2.ext
　　 %system32%\inf\mscg13.exe
　　 %system32%\3.ext
　　 %system32%\ThunderBHONew14.dll
　　 %system32%\4.ext
　　 %system32%\2ba.dll
　　 %system32%\b79a.dll
　　 %system32%\79e7a.exe
　　 %WINDIR\MayaGirl\MayaGirlMain.exe
　　 %WINDIR\033.exe
　　 %WINDIR\f9a.bmp
　　 %WINDIR\91ba.exe
　　 %WINDIR\1b60a.txt ：

瑞星卡卡安全论坛