瑞星卡卡安全论坛

其实，这个病毒RIS2010早就报了（Trojan.Win32.Generic.12053A2D）。

此毒在WINDOWS 7下基本不能运行，也不能改写MBR。

为了揭开此毒的神秘面纱，看看它什么德行，俺只好重启到WINOWS XP下，看看它到底搞了些啥鬼花活。

一、XP环境下实机运行病毒的结果：

1、双击病毒程序chajiangengxin.exe后，它在当前用户临时文件夹中释放一个xxx.txt文件。此处x代表阿拉伯数字。虽然是txt文档，但它却是可执行程序。不信？查看其MD5并与它“老爸”对比（图1）：




2、这病毒跟中招用户玩儿“障眼法”，汗！以致不少人认为“中此毒后的一个特征是windows\temp目录下反复出现alg.exe或ali.exe”。其实不是这么回事。看看病毒进程就明白了（图2、图3）：






3、chajiangengxin.exe运行后多次访问网络（图4）




4、中招后，MBR确实被此毒改写了。图5为运行此毒前的MBR；图6为此毒运行后的MBR。






5、该毒运行访问网络后，不知咋的就报错了！汗！（图7）



6、此毒改写过的win.ini（图8）：



7、此毒释放的文件（图9）：



8、此毒运行后的注册表改动（图10）：



用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.10

二、手工收拾残局：

1、断网。结束病毒进程。删除win.ini。

2、删除病毒释放的文件，并用工具打扫注册表垃圾。

3、恢复MBR。这步操作要仔细、小心，不要搞错。可用BOOTICE之类的工具（操作见下图）。注意：我的电脑是XP＋WINDOWS 7双系统，所以在下图中勾选最后一个复选框。如果系统是XP，请勾选下图中的倒数第二个复选框。







4、重启。重启后核对一下MBR，无误。OK！

这种毒感觉不是很厉害，就是改个MBR清理那些文件比较麻烦。。。:kaka5:

我电脑用了一下U盘、然后图片、比如说保存到桌面、在打开一看的话、图片就会变样、能不能帮我解决一下

不是 猫叔，这个东东连接网络没有下载执行一些什么吗？感觉连接网络后，一般的会有点反映啊 Tiny应该有点反映把。。:kaka5:

还有 猫叔，你的那个Tiny是怎么把注册表和文件之类分开显示的啊，我的那个英文版本不知道咋分:kaka14:

逆向追踪功能

然后用那个行为分析器
结束逆向追踪，分析结果

然后看就是

看图7-图8

谢谢~:kaka12:

恩，貌似很多都是释放到临时文件夹

好厉害，学习了

平时注意备份引导区等关键信息 嘿嘿:kaka12:  学习了 谢谢猫叔

这就是新鬼影哇见识了

:kaka6: 好像修复起来也不难，学习了

学习了

好利害的病毒，MBR也能改

请问楼主用的是什么工具软件来分析病毒行为的啊？

学习了，感谢楼主。

扩展名是txt为什么可以执行呢？虽然MD5相同，但它后缀不是exe啊

BOOTICE在哪里下载？

学习了

谢谢，学习了，今晚就碰到此类问题啊

:kaka1: 虽然看不懂 但还是要努力学习了

猫叔我感觉自己的硬盘中了鬼影。。症状是开机很慢进不了系统重装后可以进但是移文件感觉很慢，看了你MBR修改的方法后正常的扇区和不正常的对比了一下感觉是中了QQ求助下因为之前没有备份MBR有什么办法恢复。QQ：234378757 硬盘；里有很重要的文件

第一次听说.TXT有如何神功

楼主老厉害了，学习~~

狗叔喜欢用冰刃呀!  冰刃过时了哟!

现在我们一般都有用xuter这个工具

好厉害 可惜我们这些菜鸟听不懂 55

病毒全称：    xxx.txt.exe 

懂了吧 图标换成记事本的 还有像这么手工杀毒又累又慢 我不赞同 :kaka1:

我是新手 看不懂

恩 ，谢谢你提供的近期流行的那个改写MBR的病毒相关分析测试资料··

确实厉害呀:kaka3: