瑞星卡卡安全论坛

源文件是2008.EXE，我把它解压缩了，再打包的，现在是2008.RAR

打开这个文件可以看到1.VBS,1.BAT.2.EXE,3.EXE

1.VBS调用WSCRIPT.SHELL 运行 1.BAT

之后1.BAT运行其他的EXE文件，然后删除自身。

3.EXE其实是个压缩包，里面有个360RAT.EXE，再解压可以看到里面好像是个刷浏览量的软件。

2.EXE有兴趣的朋友可以自己查看里面的内容，貌似出现了某个论坛的名字。

遗憾的是瑞星和360都认为他们是安全的……

中毒后症状：1.系统会多出一个管理员账户，名字是internetusers
2.进程中会有很多CMD.EXE,PING.EXE，可能还有一个FTP.EXE，但瑞星对此毫无察觉；

估计是想入侵我电脑吧，可惜我很快察觉了，希望瑞星能赶快防御此类病毒=、 =

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17

附件: 2008.part1.rar

附件: 2008.part2.rar

附件: 2008.part3.rar

附件: 2008.part4.rar

附件: 2008.part5.rar

附件: 2008.part6.rar

附件: 2008.part7.rar

不好意思，论坛限制附件，我只好分割成很多份，还有一个情况未说明，就是之前病毒会调用WSCRIPT.EXE这个文件，我之后再组策略中将该文件限制为“不允许”

之前有朋友说因为此程序分步骤的行为比较合理……我想说的是，别人都在你计算机里，在你毫不知情甚至毫无任何键盘鼠标操作的情况下建立了一个管理员账户，如果这个都无法检测出来的话，后果不堪设想！

今日补充该病毒的其他成员（昨天清除太快，没记得留下副本，今早又中了，索性都保存下来）
大部分都存在于WINDOWS下面的SYSTEM32目录，扩展名可能会变。
有趣的是我还发现一个DLL文件，打开后看到一行骂我的话……
文件列表(我已经打包好，为了防止再次运行，每个文件我都加了些多余的星号和斜杠进去，其中的1.TXT和2.TXT都写着xxxLENGYUYETAMA，不解，另外SYS文件均可以记事本打开，可以看到几个IP地址)：
1.BAT
1.TXT
1.VBS
2.TXT
autoexec.bat
autoexec.vbs
cc.bat
cc.sys
cmd.bat
j.i
niubi.bat
niubi.sys
vbskell.vbs
vbsky.vbs
xl.bat
xl.sys
xl1.bat
xl1.sys

附件: system32.rar

由于发现比较快，有几个EXE文件没等它自动下载好，我就清除了，没保存到。niubi.exe,cc.exe,xl.exe,xl1.exe 有的朋友麻烦传上来一下:kaka6:

继续检查，又在WINDOWS目录下的DEBUG目录发现残余势力，共2个文件，1个是b.exe，1个是kao.bat，有趣的是b.exe还写的是瑞星的描述信息。
文件我已打包好，瑞星对这2个文件认为是很安全的。

不能上传文件了吗

附件: Debug.rar

下午又中这个病毒了，这次用SRENG扫描了一遍，大虾帮我看看我电脑漏洞在哪里，为什么病毒屡次能安然入住。附件是日志：

附件: SREngLOG.log

上报文件成功！
查询编号：RS20100207171328046664
为查询文件分析结果，请记录此编号。谢谢您的参与！