瑞星卡卡安全论坛

运行后释放驱动文件到TEMP目录下，然后再加载驱动，干掉所有的杀软的进程。

http://www.doopx.com:88/new/new1.exe
http://www.doopx.com:88/new/new2.exe
http://www.doopx.com:88/new/new3.exe
http://www.doopx.com:88/new/new4.exe
http://www.doopx.com:88/new/new5.exe
http://www.doopx.com:88/new/new6.exe
http://www.doopx.com:88/new/new7.exe
http://www.doopx.com:88/new/new8.exe
http://www.doopx.com:88/new/new9.exe
http://www.doopx.com:88/new/new10.exe
http://www.doopx.com:88/new/new11.exe
http://www.doopx.com:88/new/new12.exe
http://www.doopx.com:88/new/new13.exe
http://www.doopx.com:88/new/new14.exe
http://www.doopx.com:88/new/new15.exe
http://www1.doopx.com:88/new/new16.exe
http://www1.doopx.com:88/new/new17.exe
http://www1.doopx.com:88/new/new18.exe
http://www1.doopx.com:88/new/new19.exe
http://www1.doopx.com:88/new/new20.exe
http://www1.doopx.com:88/new/new21.exe
http://www1.doopx.com:88/new/new22.exe
http://www1.doopx.com:88/new/new23.exe
http://www1.doopx.com:88/new/new24.exe
http://www1.doopx.com:88/new/new25.exe
http://www1.doopx.com:88/new/new26.exe
http://www1.doopx.com:88/new/new27.exe
http://www1.doopx.com:88/new/new28.exe
http://www1.doopx.com:88/new/new29.exe
http://www1.doopx.com:88/new/new30.exe
http://www1.doopx.com:88/new/new31.exe
http://www1.doopx.com:88/new/new32.exe
http://www1.doopx.com:88/new/new33.exe

抓就抓有质量的！！！





3.19日的
开瑞星全防御的情况下，一运行，瑞星直接挂掉，无异常。应该是个下载者 a2.rar (23.13 KB) a2.rar (23.13 KB)
下载次数: 141
2009-3-19 14:52



Ko
http://www.doopx.com:88/new/new1.exe
http://www.doopx.com:88/new/new2.exe
http://www.doopx.com:88/new/new3.exe
http://www.doopx.com:88/new/new4.exe
http://www.doopx.com:88/new/new5.exe
http://www.doopx.com:88/new/new6.exe
http://www.doopx.com:88/new/new7.exe
http://www.doopx.com:88/new/new8.exe
http://www.doopx.com:88/new/new9.exe
http://www.doopx.com:88/new/new10.exe
http://www.doopx.com:88/new/new11.exe
http://www.doopx.com:88/new/new12.exe
http://www.doopx.com:88/new/new13.exe
http://www.doopx.com:88/new/new14.exe
http://www.doopx.com:88/new/new15.exe
http://www1.doopx.com:88/new/new16.exe
http://www1.doopx.com:88/new/new17.exe
http://www1.doopx.com:88/new/new18.exe
http://www1.doopx.com:88/new/new19.exe
http://www1.doopx.com:88/new/new20.exe
http://www1.doopx.com:88/new/new21.exe
http://www1.doopx.com:88/new/new22.exe
http://www1.doopx.com:88/new/new23.exe
http://www1.doopx.com:88/new/new24.exe
http://www1.doopx.com:88/new/new25.exe
http://www1.doopx.com:88/new/new26.exe
http://www1.doopx.com:88/new/new27.exe
http://www1.doopx.com:88/new/new28.exe
http://www1.doopx.com:88/new/new29.exe
http://www1.doopx.com:88/new/new30.exe
http://www1.doopx.com:88/new/new31.exe
http://www1.doopx.com:88/new/new32.exe
http://www1.doopx.com:88/new/new33.exe

此下载者有两个资源文件，一个是起读取列表下载作用的，另一个是穿USERINIT.EXE驱动的，目前全免杀。
刚发现此东西还可以干掉NOD32！！！



调C:\WINDOWS\system32\taskkill.exe
C:\Docume~1\Admini~1\Locals~1\Temp\~1ac20f.tmp
改HKLM\SYSTEM\CURRENTCONTROLSET\Control\Session Manager\
联C:\Documents And Settings\Administrator\Local Settings\Temp\~1ac27c.tmp

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: a3.rar

这个样本 不是通过驱动干掉瑞星的 而且目前版本他的方法只能干掉瑞星的小伞进程 真正的监控并未退出

:default2: 因为这个样本不是自己做的，我自己也没有研究，刚看到一个这样的，所以就发过来

杀毒软件21.30.50可以查杀附件中的样本

怎么解决这个病毒啊 ，杀不掉~

升级瑞星杀毒软件到当前版本，就可以查杀了。