瑞星卡卡安全论坛

瑞星21.27.32不报毒

运行后释放：
C:\WINDOWS\system32\alimoto32.exe
C:\WINDOWS\system32\alimoto32.dll
C:\WINDOWS\system32\drivers\aliimz.sys
aliimz.sys加载后IceSword不能运行（系统崩溃重启）。
alimoto32.dll修改explorer.exe内存并控制explorer.exe进程。此后将alimoto32.dll改名为ali56653.dll。

注册表改动：
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run分支添加：
nwiz        (指向C:\WINDOWS\system32\alimoto32.exe）
在HKLM\System\CurrentControlSet\Services分支添加：                 
aliimz        （指向C:\WINDOWS\system32\drivers\aliimz.sys）


样本及其释放的文件在附件中（无密码）

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

附件: 桌面.rar

感谢您对瑞星的支持，您所上报的文件已经收集，我们会抓紧分析并跟帖回复。

1、文件名：alimoto32.exe

病毒名：Trojan.PSW.Win32.LMir.cic

2、文件名：C@WINDOWS@system32@alimoto32.exe

病毒名：Trojan.PSW.Win32.LMir.cic

3、文件名：alimoto32.dll

病毒名：Trojan.PSW.Win32.LMir.cib

4、文件名：ali56653.dll

病毒名：Trojan.PSW.Win32.LMir.cib

5、文件名：aliimz.sys
不是病毒


您所上报的病毒文件将在瑞星2009的21.20.21版本中处理解
决，如遇特殊情况可能会推后几个版本。